Barracuda Networks gab bekannt, dass von Malware betroffene ESG-Geräte (Email Security Gateway) aufgrund einer 0-Day-Schwachstelle im E-Mail-Anhangsverarbeitungsmodul physisch ersetzt werden müssen. Es wird berichtet, dass zuvor veröffentlichte Patches nicht ausreichen, um das Installationsproblem zu beheben. Einzelheiten werden nicht genannt, aber die Entscheidung zum Austausch der Hardware ist vermutlich auf einen Angriff zurückzuführen, bei dem Malware auf einem niedrigen Niveau installiert wurde und nicht durch Flashen oder Zurücksetzen auf die Werkseinstellungen entfernt werden konnte. Der Austausch der Geräte erfolgt kostenlos, eine Entschädigung für die Liefer- und Austauschkosten ist jedoch nicht vorgesehen.
ESG ist ein Hardware- und Softwarepaket zum Schutz von Unternehmens-E-Mails vor Angriffen, Spam und Viren. Am 18. Mai wurde ungewöhnlicher Datenverkehr von ESG-Geräten festgestellt, der mit böswilligen Aktivitäten in Zusammenhang stand. Die Analyse ergab, dass die Geräte durch eine ungepatchte (0-Tage-)Schwachstelle (CVE-2023-28681) kompromittiert wurden, die es Ihnen ermöglicht, Ihren Code durch das Senden einer speziell gestalteten E-Mail auszuführen. Das Problem wurde dadurch verursacht, dass die Dateinamen in TAR-Archiven, die als E-Mail-Anhänge gesendet wurden, nicht ordnungsgemäß überprüft wurden. Dadurch konnten beliebige Befehle auf einem System mit erhöhten Rechten ausgeführt werden, wobei Escapezeichen beim Ausführen von Code über den Perl-Operator „qx“ umgangen wurden.
Die Schwachstelle liegt bei separat gelieferten ESG-Geräten (Appliance) mit Firmware-Versionen von 5.1.3.001 bis einschließlich 9.2.0.006 vor. Die Ausnutzung der Schwachstelle konnte seit Oktober 2022 verfolgt werden und bis Mai 2023 blieb das Problem unbemerkt. Die Schwachstelle wurde von Angreifern genutzt, um verschiedene Arten von Malware auf Gateways zu installieren – SALTWATER, SEASPY und SEASIDE, die externen Zugriff auf das Gerät ermöglichen (Hintertür) und zum Abfangen vertraulicher Daten dienen.
Die SALTWATER-Hintertür wurde als mod_udp.so-Modul für den bsmtpd-SMTP-Prozess konzipiert und ermöglichte das Laden und Ausführen beliebiger Dateien im System sowie das Weiterleiten von Anfragen und das Tunneln des Datenverkehrs zu einem externen Server. Um die Kontrolle über die Hintertür zu erlangen, wurden die Systemaufrufe send, recv und close abgefangen.
Die Schadkomponente SEASIDE wurde in Lua geschrieben, als mod_require_helo.lua-Modul für den SMTP-Server installiert und war für die Überwachung eingehender HELO/EHLO-Befehle, die Erkennung von Anfragen vom C&C-Server und die Festlegung von Parametern zum Starten der Reverse-Shell verantwortlich.
SEASPY war eine ausführbare BarracudaMailService-Datei, die als Systemdienst installiert wurde. Der Dienst nutzte einen PCAP-basierten Filter zur Überwachung des Datenverkehrs auf 25 (SMTP) und 587 Netzwerkports und aktivierte eine Hintertür, wenn ein Paket mit einer speziellen Sequenz erkannt wurde.
Am 20. Mai veröffentlichte Barracuda ein Update mit einem Fix für die Schwachstelle, das am 21. Mai auf allen Geräten ausgeliefert wurde. Am 8. Juni wurde bekannt gegeben, dass das Update nicht ausreichte und Benutzer die gefährdeten Geräte physisch ersetzen mussten. Benutzern wird außerdem empfohlen, alle Zugriffsschlüssel und Anmeldeinformationen zu ersetzen, die sich mit dem Barracuda ESG gekreuzt haben, z. B. diejenigen, die mit LDAP/AD und Barracuda Cloud Control verbunden sind. Nach vorläufigen Daten gibt es etwa 11 ESG-Geräte im Netzwerk, die den Barracuda Networks Spam Firewall smtpd-Dienst nutzen, der im Email Security Gateway verwendet wird.
Source: opennet.ru