Die Firma Barracuda Networks hat die Notwendigkeit angekündigt, die ESG-Geräte (Email Security Gateway) physisch auszutauschen, die aufgrund eines 0-Day-Sicherheitsrisikos im Modul zur Verarbeitung von E-Mail-Anhängen von Malware betroffen sind. Es wird berichtet, dass das Installieren zuvor veröffentlichter Patches nicht ausreicht, um das Problem zu beheben. Details wurden nicht bekannt gegeben, jedoch wurde die Entscheidung zum Austausch der Hardware vermutlich aufgrund eines Angriffs getroffen, der zu einer Installation von Malware auf niedrigster Ebene führte, und die Unmöglichkeit, diese durch ein Firmware-Update oder einen Werksreset zu entfernen. Die Hardware wird kostenlos ersetzt, Informationen über die Erstattung von Versand- und Arbeitskosten für den Austausch liegen nicht vor.
ESG ist ein hardware- und softwarebasiertes System zum Schutz der Unternehmens-E-Mails vor Angriffen, Spam und Viren. Am 18. Mai wurde ein anomal hoher Datenverkehr von ESG-Geräten festgestellt, der mit bösartiger Aktivität in Verbindung stand. Eine Analyse ergab, dass die Geräte über eine ungepatchte (0-day) Schwachstelle (CVE-2023-28681) kompromittiert wurden, die es ermöglicht, eigenen Code durch das Versenden einer gezielt gestalteten E-Mail auszuführen. Das Problem wurde durch fehlende Überprüfung der Dateinamen innerhalb von tar-Archiven, die als E-Mail-Anhang übertragen wurden, verursacht und erlaubte die Ausführung beliebiger Befehle im System mit erhöhten Berechtigungen, wodurch das Escaping bei der Ausführung von Code über den Perl-Befehl „qx“ umgangen wurde.
Die Schwachstelle tritt in separaten ESG-Geräten (Appliance) mit Firmware-Versionen von 5.1.3.001 bis einschließlich 9.2.0.006 auf. Die Ausnutzung der Schwachstelle ist seit Oktober 2022 dokumentiert, und bis Mai 2023 blieb das Problem unentdeckt. Angreifer nutzten die Schwachstelle, um verschiedene Arten von Malware – SALTWATER, SEASPY und SEASIDE – auf Gateways zu installieren, die externen Zugriff auf das Gerät (Backdoor) ermöglichten und zum Abfangen vertraulicher Daten verwendet wurden.
Die Backdoor SALTWATER wurde als Modul mod_udp.so für den SMTP-Prozess bsmtpd implementiert und erlaubte das Hochladen und Ausführen beliebiger Dateien im System sowie das Proxysieren von Anfragen und das Tunnelieren von Datenverkehr nach außen. der ServerZur Erlangung der Kontrolle über die Backdoor wurde der Aufruf der Systemaufrufe send, recv und close abgefangen.
Die bösartige Komponente SEASIDE wurde in Lua geschrieben und als Modul mod_require_helo.lua für den SMTP-Server installiert. Sie verfolgte eingehende HELO/EHLO-Kommandos, identifizierte Anfragen von der Steuerzentrale Server und bestimmte die Startparameter für einen umgekehrten Shell.
SEASPY war eine ausführbare Datei von BarracudaMailService, die als Systemdienst installiert wurde. Der Dienst verwendete einen PCAP-basierten Filter, um den Datenverkehr auf den Ports 25 (SMTP) und 587 zu überwachen und aktivierte einen Backdoor-Zugriff bei Erkennung eines Pakets mit einer speziellen Sequenz.
Am 20. Mai veröffentlichte Barracuda ein Update zur Behebung der Sicherheitsanfälligkeit, das am 21. Mai auf alle Geräte verteilt wurde. Am 8. Juni wurde bekannt gegeben, dass das Update nicht ausreicht und die Benutzer die kompromittierten Geräte physisch ersetzen müssen. Den Benutzern wird auch empfohlen, alle Zugangsschlüssel und Anmeldedaten zu ersetzen, die mit Barracuda ESG verbunden waren, beispielsweise in den verknüpften LDAP/AD und Barracuda Cloud Control. Vorläufigen Berichten zufolge sind etwa 11.000 ESG-Geräte im Netzwerk aktiv, die den Barracuda Networks Spam Firewall smtpd-Dienst verwenden, der im Email Security Gateway eingesetzt wird.
Quelle: opennet.ru
