Barracuda Networks anunció la necesidad de reemplazar físicamente los dispositivos ESG (Email Security Gateway) afectados por malware como resultado de una vulnerabilidad de día 0 en el módulo de manejo de archivos adjuntos de correo electrónico. Se informa que los parches lanzados anteriormente no son suficientes para bloquear el problema de instalación. No se dan detalles, pero la decisión de reemplazar el hardware se debe presumiblemente a un ataque que instaló malware a un nivel bajo y no se pudo eliminar mediante flasheo o restablecimiento de fábrica. El equipo se reemplazará sin cargo, pero no se especifica la compensación por el costo de la entrega y el trabajo de reemplazo.
ESG es un paquete de hardware y software para proteger el correo electrónico empresarial de ataques, spam y virus. El 18 de mayo se detectó tráfico anómalo de dispositivos ESG, que resultó estar asociado a actividad maliciosa. El análisis mostró que los dispositivos se vieron comprometidos mediante una vulnerabilidad sin parches (0 días) (CVE-2023-28681), que le permite ejecutar su código mediante el envío de un correo electrónico especialmente diseñado. El problema se debió a la falta de validación adecuada de los nombres de archivo dentro de los archivos tar enviados como archivos adjuntos de correo electrónico, y permitió que se ejecutara un comando arbitrario en un sistema elevado, evitando el escape al ejecutar el código a través del operador Perl "qx".
La vulnerabilidad está presente en dispositivos ESG suministrados por separado (dispositivo) con versiones de firmware de 5.1.3.001 a 9.2.0.006 inclusive. La explotación de la vulnerabilidad se ha rastreado desde octubre de 2022 y hasta mayo de 2023 el problema pasó desapercibido. Los atacantes utilizaron la vulnerabilidad para instalar varios tipos de malware en las puertas de enlace: SALTWATER, SEASPY y SEASIDE, que brindan acceso externo al dispositivo (puerta trasera) y se utilizan para interceptar datos confidenciales.
El backdoor SALTWATER se diseñó como un módulo mod_udp.so para el proceso bsmtpd SMTP y permitía cargar y ejecutar archivos arbitrarios en el sistema, así como enviar solicitudes de proxy y canalizar el tráfico a un servidor externo. Para obtener el control en la puerta trasera, se utilizó la intercepción de las llamadas al sistema de envío, recepción y cierre.
El componente malicioso SEASIDE se escribió en Lua, se instaló como un módulo mod_require_helo.lua para el servidor SMTP y fue responsable de monitorear los comandos HELO/EHLO entrantes, detectar solicitudes del servidor C&C y determinar parámetros para iniciar el shell inverso.
SEASPY era un ejecutable de BarracudaMailService instalado como servicio del sistema. El servicio utilizó un filtro basado en PCAP para monitorear el tráfico en los puertos de red 25 (SMTP) y 587 y activó una puerta trasera cuando se detectó un paquete con una secuencia especial.
El 20 de mayo, Barracuda lanzó una actualización con una solución para la vulnerabilidad, que se entregó a todos los dispositivos el 21 de mayo. El 8 de junio, se anunció que la actualización no era suficiente y que los usuarios necesitaban reemplazar físicamente los dispositivos comprometidos. También se alienta a los usuarios a reemplazar las claves de acceso y las credenciales que se hayan cruzado con Barracuda ESG, como las asociadas con LDAP/AD y Barracuda Cloud Control. Según datos preliminares, hay alrededor de 11 XNUMX dispositivos ESG en la red que utilizan el servicio smtpd de Barracuda Networks Spam Firewall, que se utiliza en Email Security Gateway.
Fuente: opennet.ru