Barracuda Networks-ek iragarri zuen malwareak eragindako ESG (Email Security Gateway) gailuak fisikoki ordezkatu beharra dagoela, posta elektronikoaren eranskinak kudeatzeko moduluan 0 eguneko ahultasun baten ondorioz. Jakinarazten da aurretik kaleratutako adabakiak ez direla nahikoa instalazio-arazoa blokeatzeko. Xehetasunak ez dira ematen, baina hardwarea ordezkatzeko erabakia malware maila baxuan instalatu eta keinuka edo fabrika berrezarri ezin izan den eraso baten ondoriozkoa da. Ekipamendua doan aldatuko da, baina ez da zehazten entrega eta ordezkapen lanen kostuaren kalte-ordainik.
ESG enpresen posta elektronikoa erasoetatik, spametatik eta birusetatik babesteko hardware eta software pakete bat da. Maiatzaren 18an, ESG gailuen trafiko anomalia detektatu zen, jarduera gaiztoekin erlazionatuta zegoela. Azterketak erakutsi zuen gailuak arriskuan jarri zirela adabakirik gabeko (0 eguneko) ahultasun bat erabiliz (CVE-2023-28681), eta horri esker zure kodea exekutatu dezakezu bereziki landutako mezu elektroniko bat bidaliz. Arazoa posta elektronikoko eranskin gisa bidalitako tar artxiboen fitxategi-izenak baliozkotze egokirik ez izateak eragin zuen, eta sistema altu batean komando arbitrarioa exekutatzeko aukera eman zuen, Perl "qx" operadorearen bidez kodea exekutatzean ihes egitea saihestuz.
Zaurgarritasuna bereizita hornitutako ESG gailuetan (tresna) 5.1.3.001etik 9.2.0.006 bitarteko firmware bertsioekin dago. Zaurgarritasunaren ustiapena 2022ko urritik aurrera egin da eta 2023ko maiatzera arte arazoa oharkabean egon zen. Ahultasuna erasotzaileek hainbat malware mota instalatzeko erabili zuten atebideetan - SALTWATER, SEASPY eta SEASIDE, gailurako kanpoko sarbidea ematen dutenak (backdoor) eta isilpeko datuak atzemateko erabiltzen direnak.
SALTWATER backdoor bsmtpd SMTP prozesurako mod_udp.so modulu gisa diseinatu zen eta sisteman fitxategi arbitrarioak kargatu eta exekutatzea ahalbidetu zuen, baita eskaerak proxyz eta trafikoa kanpoko zerbitzari batera tunelatzea ere. Atzeko atean kontrola lortzeko, bidali, berreskuratu eta ixteko sistema deien atzematea erabili zen.
SEASIDE osagai gaiztoa Luan idatzi zen, mod_require_helo.lua modulu gisa instalatu zen SMTP zerbitzarirako, eta sarrerako HELO/EHLO komandoak kontrolatzeaz, C&C zerbitzariaren eskaerak detektatzeaz eta alderantzizko shell-a abiarazteko parametroak zehazteaz arduratzen zen.
SEASPY sistemaren zerbitzu gisa instalatutako BarracudaMailService exekutagarri bat zen. Zerbitzuak PCAPn oinarritutako iragazkia erabiltzen zuen 25 (SMTP) eta 587 sareko ataketan trafikoa kontrolatzeko eta atzeko atea aktibatu zuen sekuentzia bereziko pakete bat detektatzen zenean.
Maiatzaren 20an, Barracudak eguneraketa bat kaleratu zuen ahultasunaren konponketa batekin, maiatzaren 21ean gailu guztietan entregatu zena. Ekainaren 8an, eguneratzea nahikoa ez zela iragarri zuten eta erabiltzaileek arriskuan dauden gailuak fisikoki ordezkatu behar zituzten. Erabiltzaileei ere gomendatzen zaie Barracuda ESGrekin gurutzatu diren sarbide-gako eta kredentzialak ordezkatzeko, hala nola LDAP/AD eta Barracuda Cloud Control-ekin lotutakoak. Aurretiazko datuen arabera, sarean 11 ESG gailu inguru daude Barracuda Networks Spam Firewall smtpd zerbitzua erabiliz, posta elektronikoko segurtasun atebidean erabiltzen dena.
Iturria: opennet.ru