Barracuda Networks anoncis la bezonon fizike anstataŭigi ESG (Email Security Gateway) aparatojn trafitaj de malware kiel rezulto de 0-taga vundebleco en la retpoŝta aldonaĵa pretiga modulo. Oni informas, ke antaŭe liberigitaj flikiloj ne sufiĉas por bloki la instalan problemon. Detaloj ne estas provizitaj, sed supozeble la decido anstataŭigi la ekipaĵon estis farita pro atako, kiu kaŭzis la instaladon de malware sur malalta nivelo, kaj la malkapablo forigi ĝin anstataŭigante la firmvaro aŭ restarigi ĝin al fabrika stato. La ekipaĵo estos anstataŭigita senpage; kompenso por livero kaj anstataŭaj laborkostoj ne estas precizigita.
ESG estas aparataro kaj programaro komplekso por protekti entreprenan retpoŝton kontraŭ atakoj, spamo kaj virusoj. La 18-an de majo, anomalia trafiko estis registrita de ESG-aparatoj, kiuj montriĝis asociita kun malica agado. La analizo montris, ke la aparatoj estis endanĝerigitaj uzante neflakitan (0-tagan) vundeblecon (CVE-2023-28681), kiu ebligas al vi efektivigi vian kodon sendante speciale desegnitan retpoŝton. La problemo estis kaŭzita de manko de bonorda validumado de dosiernomoj ene de gudro-arkivoj senditaj kiel retpoŝtaj aldonaĵoj, kaj permesis al arbitra komando esti efektivigita sur la sistemo kun altigitaj privilegioj, preterirante eskapi dum efektivigado de kodo per la Perl "qx" funkciigisto.
La vundebleco ĉeestas en apartaj ESG-aparatoj (aparatoj) kun firmware-versioj de 5.1.3.001 ĝis 9.2.0.006 inkluzive. Faktoj de ekspluatado de la vundebleco povas esti spuritaj reen al oktobro 2022 kaj ĝis majo 2023 la problemo restis nerimarkita. La vundebleco estis uzita de atakantoj por instali plurajn specojn de malware sur enirejoj - SALATWATER, SEASPY kaj SEASIDE, kiuj disponigas eksteran aliron al la aparato (malantaŭa pordo) kaj estas uzataj por kapti konfidencajn datumojn.
La malantaŭa pordo SALTWATER estis desegnita kiel mod_udp.so-modulo al la bsmtpd SMTP-procezo kaj permesis al arbitraj dosieroj elŝuti kaj ekzekuti en la sistemo, same kiel al prokuraj petoj kaj tunela trafiko al ekstera servilo. Por akiri kontrolon, la malantaŭa pordo uzis interkapton de la send, recv kaj fermaj sistemvokoj.
La malica komponanto SEASIDE estis skribita en Lua, instalita kiel modulo mod_require_helo.lua por la SMTP-servilo kaj respondecis pri monitorado de envenantaj HELO/EHLO-komandoj, identigi petojn de la komanda kaj kontrola servilo, kaj determini parametrojn por lanĉi inversan ŝelon.
SEASPY estis rulebla BarracudaMailService-dosiero instalita kiel sistema servo. La servo uzis PCAP-bazitan filtrilon por monitori trafikon sur 25 (SMTP) kaj 587 retaj havenoj kaj aktivigis malantaŭan pordon kiam pakaĵeto kun speciala sekvenco estis detektita.
La 20-an de majo, Barracuda publikigis ĝisdatigon kun solvo por la vundebleco, kiu estis liverita al ĉiuj aparatoj la 21-an de majo. La 8-an de junio, estis sciigite ke la ĝisdatigo ne sufiĉas kaj uzantoj devus fizike anstataŭigi la kompromititajn aparatojn. Uzantoj ankaŭ konsilas anstataŭigi iujn ajn alirŝlosilojn kaj akreditaĵojn, kiuj interkovris kun Barracuda ESG, kiel tiuj asociitaj kun LDAP/AD kaj Barracuda Cloud Control. Laŭ antaŭaj datumoj, estas ĉirkaŭ 11 mil ESG-aparatoj en la reto uzante la Barracuda Networks Spam Firewall smtpd-servon, kiu estas uzata en la Retpoŝta Sekureca Enirejo.
fonto: opennet.ru