Barracuda Networks je najavila potrebu za fizičkom zamjenom ESG (Email Security Gateway) uređaja zahvaćenih zlonamjernim softverom kao rezultat 0-dnevne ranjivosti u modulu za obradu priloga e-pošte. Prijavljeno je da prethodno objavljene zakrpe nisu dovoljne da blokiraju problem instalacije. Detalji nisu dati, ali je vjerovatno odluka o zamjeni opreme donesena zbog napada koji je doveo do instaliranja zlonamjernog softvera na niskom nivou, te nemogućnosti njegovog uklanjanja zamjenom firmvera ili vraćanjem na fabričko stanje. Oprema će biti zamijenjena besplatno, a naknada za dostavu i zamjenu troškova rada nije navedena.
ESG je hardverski i softverski kompleks za zaštitu poslovne e-pošte od napada, neželjene pošte i virusa. Dana 18. maja zabilježen je anomalan promet sa ESG uređaja, za koji se ispostavilo da je povezan sa zlonamjernom aktivnošću. Analiza je pokazala da su uređaji kompromitovani korišćenjem nezakrpljene (0-dnevne) ranjivosti (CVE-2023-28681), koja vam omogućava da izvršite svoj kod slanjem posebno dizajnirane e-pošte. Problem je uzrokovan nedostatkom pravilne validacije imena datoteka unutar tar arhiva poslanih kao privitci e-pošte i omogućio je izvršavanje proizvoljne naredbe na sistemu s povišenim privilegijama, zaobilazeći izbjegavanje koda prilikom izvršavanja koda preko Perl "qx" operatora.
Ranjivost je prisutna u odvojeno isporučenim ESG uređajima (uređajima) sa verzijama firmvera od 5.1.3.001 do 9.2.0.006 uključujući. Činjenice o iskorištavanju ranjivosti mogu se pratiti do oktobra 2022. godine, a do maja 2023. problem je ostao neotkriven. Ranjivost su iskoristili napadači da instaliraju nekoliko vrsta zlonamjernog softvera na gatewaye - SALTWATER, SEASPY i SEASIDE, koji omogućavaju vanjski pristup uređaju (backdoor) i koriste se za presretanje povjerljivih podataka.
SALTWATER backdoor je dizajniran kao mod_udp.so modul za bsmtpd SMTP proces i omogućio je preuzimanje i izvršavanje proizvoljnih datoteka na sistemu, kao i proxy zahtjeve i tunelski promet prema eksternom serveru. Da bi stekao kontrolu, backdoor je koristio presretanje sistemskih poziva za slanje, vraćanje i zatvaranje.
Zlonamjerna komponenta SEASIDE je napisana u Lua, instalirana kao modul mod_require_helo.lua za SMTP server i bila je odgovorna za praćenje dolaznih HELO/EHLO komandi, identifikaciju zahtjeva sa komandnog i kontrolnog servera i određivanje parametara za pokretanje reverzne ljuske.
SEASPY je bila izvršna datoteka BarracudaMailService instalirana kao sistemska usluga. Servis je koristio PCAP-bazirani filter za praćenje saobraćaja na 25 (SMTP) i 587 mrežnih portova i aktivirao backdoor kada je otkriven paket sa posebnim nizom.
Barracuda je 20. maja objavila ažuriranje sa ispravkom za ranjivost, koje je isporučeno na sve uređaje 21. maja. 8. juna objavljeno je da ažuriranje nije dovoljno i da će korisnici morati fizički zamijeniti kompromitovane uređaje. Korisnicima se također savjetuje da zamijene sve pristupne ključeve i akreditive koji se preklapaju sa Barracuda ESG, kao što su oni povezani sa LDAP/AD i Barracuda Cloud Control. Prema preliminarnim podacima, na mreži postoji oko 11 hiljada ESG uređaja koji koriste uslugu Barracuda Networks Spam Firewall smtpd, koja se koristi u Email Security Gatewayu.
izvor: opennet.ru