Η Barracuda Networks ανακοίνωσε την ανάγκη φυσικής αντικατάστασης συσκευών ESG (Email Security Gateway) που επηρεάζονται από κακόβουλο λογισμικό ως αποτέλεσμα μιας ευπάθειας 0 ημερών στη μονάδα επεξεργασίας συνημμένων email. Αναφέρεται ότι οι ενημερώσεις κώδικα που κυκλοφόρησαν προηγουμένως δεν επαρκούν για να αποκλείσουν το πρόβλημα εγκατάστασης. Λεπτομέρειες δεν παρέχονται, αλλά πιθανώς η απόφαση για την αντικατάσταση του εξοπλισμού ελήφθη λόγω επίθεσης που οδήγησε στην εγκατάσταση κακόβουλου λογισμικού σε χαμηλό επίπεδο και αδυναμίας κατάργησής του με αντικατάσταση του υλικολογισμικού ή επαναφορά του σε εργοστασιακή κατάσταση. Ο εξοπλισμός θα αντικατασταθεί δωρεάν· δεν προσδιορίζεται αποζημίωση για το κόστος παράδοσης και αντικατάστασης.
Το ESG είναι ένα σύμπλεγμα υλικού και λογισμικού για την προστασία των εταιρικών email από επιθέσεις, ανεπιθύμητα μηνύματα και ιούς. Στις 18 Μαΐου, καταγράφηκε ανώμαλη κίνηση από συσκευές ESG, η οποία αποδείχθηκε ότι σχετίζεται με κακόβουλη δραστηριότητα. Η ανάλυση έδειξε ότι οι συσκευές παραβιάστηκαν χρησιμοποιώντας μια ευπάθεια χωρίς επιδιόρθωση (0 ημερών) (CVE-2023-28681), η οποία σας επιτρέπει να εκτελέσετε τον κώδικά σας στέλνοντας ένα ειδικά σχεδιασμένο email. Το πρόβλημα προκλήθηκε από την έλλειψη σωστής επικύρωσης των ονομάτων αρχείων μέσα στα αρχεία tar που αποστέλλονται ως συνημμένα email και επέτρεψε την εκτέλεση μιας αυθαίρετης εντολής στο σύστημα με αυξημένα δικαιώματα, παρακάμπτοντας τη διαφυγή κατά την εκτέλεση κώδικα μέσω του τελεστή Perl "qx".
Η ευπάθεια υπάρχει σε ξεχωριστά παρεχόμενες συσκευές ESG (συσκευές) με εκδόσεις υλικολογισμικού από 5.1.3.001 έως 9.2.0.006 συμπεριλαμβανομένων. Τα γεγονότα εκμετάλλευσης της ευπάθειας μπορούν να εντοπιστούν από τον Οκτώβριο του 2022 και μέχρι τον Μάιο του 2023 το πρόβλημα παρέμενε απαρατήρητο. Η ευπάθεια χρησιμοποιήθηκε από τους εισβολείς για να εγκαταστήσουν διάφορους τύπους κακόβουλου λογισμικού σε πύλες - SALTWATER, SEASPY και SEASIDE, που παρέχουν εξωτερική πρόσβαση στη συσκευή (backdoor) και χρησιμοποιούνται για την υποκλοπή εμπιστευτικών δεδομένων.
Το SALTWATER backdoor σχεδιάστηκε ως λειτουργική μονάδα mod_udp.so στη διαδικασία BSmtpd SMTP και επέτρεψε τη λήψη και εκτέλεση αυθαίρετων αρχείων στο σύστημα, καθώς και για αιτήματα διακομιστή μεσολάβησης και κυκλοφορία σήραγγας σε έναν εξωτερικό διακομιστή. Για να αποκτήσει τον έλεγχο, η κερκόπορτα χρησιμοποιούσε την παρακολούθηση των κλήσεων αποστολής, επανάληψης και κλεισίματος συστήματος.
Το κακόβουλο στοιχείο SEASIDE γράφτηκε στο Lua, εγκαταστάθηκε ως λειτουργική μονάδα mod_require_helo.lua για τον διακομιστή SMTP και ήταν υπεύθυνο για την παρακολούθηση των εισερχόμενων εντολών HELO/EHLO, την αναγνώριση αιτημάτων από τον διακομιστή εντολών και ελέγχου και τον καθορισμό παραμέτρων για την εκκίνηση ενός αντίστροφου κελύφους.
Το SEASPY ήταν ένα εκτελέσιμο αρχείο BarracudaMailService που εγκαταστάθηκε ως υπηρεσία συστήματος. Η υπηρεσία χρησιμοποίησε ένα φίλτρο που βασίζεται σε PCAP για την παρακολούθηση της κυκλοφορίας σε 25 (SMTP) και 587 θύρες δικτύου και ενεργοποίησε μια κερκόπορτα όταν ανιχνεύτηκε ένα πακέτο με μια ειδική ακολουθία.
Στις 20 Μαΐου, η Barracuda κυκλοφόρησε μια ενημέρωση με μια επιδιόρθωση για την ευπάθεια, η οποία παραδόθηκε σε όλες τις συσκευές στις 21 Μαΐου. Στις 8 Ιουνίου, ανακοινώθηκε ότι η ενημέρωση δεν ήταν αρκετή και οι χρήστες θα έπρεπε να αντικαταστήσουν φυσικά τις παραβιασμένες συσκευές. Συνιστάται επίσης στους χρήστες να αντικαταστήσουν τυχόν κλειδιά πρόσβασης και διαπιστευτήρια που έχουν επικαλύψει με το Barracuda ESG, όπως αυτά που σχετίζονται με το LDAP/AD και το Barracuda Cloud Control. Σύμφωνα με προκαταρκτικά στοιχεία, υπάρχουν περίπου 11 χιλιάδες συσκευές ESG στο δίκτυο που χρησιμοποιούν την υπηρεσία Barracuda Networks Spam Firewall smtpd, η οποία χρησιμοποιείται στην πύλη ασφαλείας Email.
Πηγή: opennet.ru