D'fhógair Barracuda Networks an gá atá le feistí ESG (Geata Slándála Ríomhphost) a bhfuil tionchar ag malware orthu a athsholáthar go fisiciúil mar thoradh ar leochaileacht 0-lá sa mhodúl láimhseála ceangaltáin ríomhphoist. Tuairiscítear nach leor paistí a scaoileadh roimhe seo chun an fhadhb suiteála a bhac. Ní thugtar sonraí, ach is dócha go bhfuil an cinneadh chun na crua-earraí a athsholáthar mar gheall ar ionsaí a shuiteáil malware ar leibhéal íseal agus nach bhféadfaí é a bhaint trí splancadh nó athshocrú monarchan. Déanfar an trealamh a athsholáthar saor in aisce, ach ní shonraítear cúiteamh as costas seachadta agus oibre athsholáthair.
Is pacáiste crua-earraí agus bogearraí é ESG chun ríomhphost fiontraíochta a chosaint ó ionsaithe, turscar agus víris. An 18 Bealtaine, aimsíodh trácht aimhrialta ó fheistí ESG, rud a bhain le gníomhaíocht mhailíseach. Léiríodh san anailís go raibh na gléasanna i gcontúirt ag baint úsáide as leochaileacht neamhphatáilte (0-lá) (CVE-2023-28681), a ligeann duit do chód a fhorghníomhú trí ríomhphost sainréitithe a sheoladh. Ba é ba chúis leis an bhfadhb ná easpa bailíochtaithe cuí ar chomhadainmneacha laistigh de chartlanna tarra a seoladh mar cheangaltáin ríomhphoist, agus cheadaigh sé ordú treallach a fhorghníomhú ar chóras ardaithe, ag seachaint éalú agus cód á fhorghníomhú tríd an oibreoir Perl "qx".
Tá an leochaileacht i láthair i bhfeistí ESG a sholáthraítear ar leithligh (fearas) le leaganacha firmware ó 5.1.3.001 go 9.2.0.006 san áireamh. Tá saothrú na leochaileachta á rianadh ó Dheireadh Fómhair 2022 agus go dtí Bealtaine 2023 níor tugadh faoi deara an fhadhb. Bhain ionsaitheoirí úsáid as an leochaileacht chun roinnt cineálacha malware a shuiteáil ar gheataí - SALTWATER, SEASPY agus Seaside, a sholáthraíonn rochtain sheachtrach ar an bhfeiste (backdoor) agus a úsáidtear chun sonraí rúnda a idircheapadh.
Dearadh backdoor SALTWATER mar mhodúl mod_udp.so don phróiseas SMTP bsmtpd agus cheadaigh sé comhaid treallacha sa chóras a luchtú agus a rith, chomh maith le hiarrataí seachfhreastalaí agus trácht tollánaithe chuig freastalaí seachtrach. Chun smacht a fháil sa chúldoras, baineadh úsáid as na glaonna córais seolta, recv agus dúnta a thascradh.
Scríobhadh comhpháirt mailíseach SEASIDE in Lua, suiteáladh é mar mhodúl mod_require_helo.lua don fhreastalaí SMTP, agus bhí sé freagrach as monatóireacht a dhéanamh ar orduithe HELO/EHLO a bhí ag teacht isteach, iarratais a bhrath ón bhfreastalaí C&C, agus paraiméadair a chinneadh chun an sliogán cúil a sheoladh.
Bhí SEASPY ina BarracudaMailService inrite suiteáilte mar sheirbhís córais. Bhain an tseirbhís úsáid as scagaire PCAP-bhunaithe chun monatóireacht a dhéanamh ar thrácht ar 25 (SMTP) agus 587 calafort líonra agus ghníomhaigh sí backdoor nuair a aimsíodh paicéad le seicheamh speisialta.
Ar 20 Bealtaine, d'eisigh Barracuda nuashonrú le réiteach don leochaileacht, a seachadadh chuig gach feiste an 21 Bealtaine. Ar 8 Meitheamh, fógraíodh nach raibh an nuashonrú go leor agus go raibh gá le húsáideoirí feistí comhréiteach a athsholáthar go fisiciúil. Spreagtar úsáideoirí freisin aon eochracha rochtana agus dintiúir a thrasnaigh cosáin a athsholáthar leis an Barracuda ESG, mar iad siúd a bhaineann le LDAP/AD agus Barracuda Cloud Control. De réir réamhshonraí, tá thart ar 11 feiste ESG ar an líonra ag baint úsáide as seirbhís smtpd Balla Dóiteáin Spam Barracuda Networks, a úsáidtear sa Tairseach Slándála Ríomhphoist.
Foinse: oscailtenet.ru