Barracuda Networks teatas, et meilimanuste töötlemise mooduli 0-päevase haavatavuse tõttu on pahavarast mõjutatud ESG (Email Security Gateway) seadmed füüsiliselt välja vahetatud. Teatavasti ei piisa installiprobleemi blokeerimiseks varem välja antud paikadest. Üksikasju ei avaldata, kuid arvatavasti tehti seadmete väljavahetamise otsus ründe tõttu, mis viis pahavara madalal tasemel installimiseni ja suutmatusest seda eemaldada püsivara asendamise või tehase olekusse lähtestamise teel. Seadmete vahetus toimub tasuta, tarne- ja asendustööjõukulude hüvitamist ei täpsustata.
ESG on riist- ja tarkvarakompleks ettevõtte e-posti kaitsmiseks rünnakute, rämpsposti ja viiruste eest. 18. mail registreeriti ESG-seadmetest anomaalne liiklus, mis osutus seotud pahatahtliku tegevusega. Analüüs näitas, et seadmete ohtu sattus paigatamata (0-päevane) haavatavus (CVE-2023-28681), mis võimaldab teil oma koodi käivitada, saates selleks spetsiaalselt loodud meili. Probleemi põhjustas meilimanustena saadetud tar-arhiivide failinimede õige valideerimise puudumine ja see võimaldas kõrgendatud õigustega süsteemis käivitada suvalise käsu, jättes kõrvale põgenemise koodi käivitamisel Perli operaatori "qx" kaudu.
Haavatavus esineb eraldi tarnitavates ESG-seadmetes (seadmetes), mille püsivara versioonid on 5.1.3.001 kuni 9.2.0.006 (kaasa arvatud). Haavatavuse ärakasutamise fakte saab jälgida 2022. aasta oktoobrini ja kuni 2023. aasta maini jäi probleem avastamata. Haavatavust kasutasid ründajad, et installida lüüsidesse mitut tüüpi pahavara – SALTWATER, SEASPY ja SEASIDE, mis pakuvad seadmele välist juurdepääsu (tagauks) ja mida kasutatakse konfidentsiaalsete andmete pealtkuulamiseks.
SALTWATER tagauks loodi bsmtpd SMTP protsessi mod_udp.so moodulina ja võimaldas suvaliste failide allalaadimist ja süsteemis käivitamist, samuti puhverserveri päringuid ja tunneliliiklust välisserverisse. Juhtimise saavutamiseks kasutas tagauks süsteemi saatmise, tagasivõtu ja sulgemise kõnede pealtkuulamist.
Pahatahtlik komponent SEASIDE kirjutati Luas, installiti moodulina mod_require_helo.lua SMTP-serveri jaoks ja vastutas sissetulevate HELO/EHLO käskude jälgimise, käsu- ja juhtimisserveri päringute tuvastamise ning pöördkesta käivitamise parameetrite määramise eest.
SEASPY oli käivitatav BarracudaMailService'i fail, mis installiti süsteemiteenusena. Teenus kasutas PCAP-põhist filtrit liikluse jälgimiseks 25 (SMTP) ja 587 võrgupordis ning aktiveeris tagaukse, kui tuvastati spetsiaalse järjestusega pakett.
20. mail andis Barracuda välja haavatavuse parandusega värskenduse, mis tarniti kõikidesse seadmetesse 21. mail. 8. juunil teatati, et uuendusest ei piisa ja kasutajatel tuleb kahjustatud seadmed füüsiliselt välja vahetada. Samuti soovitatakse kasutajatel asendada kõik Barracuda ESG-ga kattunud juurdepääsuvõtmed ja mandaadid, näiteks need, mis on seotud LDAP/AD ja Barracuda Cloud Controliga. Esialgsetel andmetel on võrgus umbes 11 tuhat ESG seadet, mis kasutavad Barracuda Networks Spam Firewall smtpd teenust, mida kasutatakse Email Security Gateways.
Allikas: opennet.ru