Dh’ainmich Barracuda Networks gu robh feum air innealan ESG (Email Security Gateway) a chuir an àite gu corporra air an tug malware buaidh orra mar thoradh air so-leòntachd latha 0 anns a’ mhodal làimhseachadh ceanglachan post-d. Thathas ag aithris nach eil pìosan a chaidh a leigeil ma sgaoil roimhe seo gu leòr gus an duilgheadas stàlaidh a bhacadh. Chan eil mion-fhiosrachadh air a thoirt seachad, ach tha e coltach gu bheil an co-dhùnadh am bathar-cruaidh a chuir na àite mar thoradh air ionnsaigh a chuir a-steach malware aig ìre ìosal agus nach gabhadh a thoirt air falbh le frasadh no ath-shuidheachadh factaraidh. Thèid an uidheamachd a chuir na àite an-asgaidh, ach chan eil airgead-dìolaidh airson cosgais lìbhrigidh agus obair ùr air a shònrachadh.
Is e pasgan bathar-cruaidh is bathar-bog a th’ ann an ESG gus post-d iomairt a dhìon bho ionnsaighean, spama is bhìorasan. Air 18 Cèitean, chaidh trafaic neo-riaghailteach bho innealan ESG a lorg, a thionndaidh a-mach gu robh e co-cheangailte ri gnìomhachd droch-rùnach. Sheall an anailis gun deach na h-innealan a chuir an cunnart le bhith a’ cleachdadh so-leòntachd neo-chòmhdaichte (0-latha) (CVE-2023-28681), a leigeas leat do chòd a chuir an gnìomh le bhith a’ cur post-d sònraichte a-steach. Chaidh an duilgheadas adhbhrachadh le dìth dearbhadh ceart air ainmean faidhle taobh a-staigh tasglannan teàrr a chaidh a chuir mar cheanglachan post-d, agus leig e le òrdugh neo-riaghailteach a bhith air a chuir gu bàs air siostam àrdaichte, a’ seachnadh teicheadh nuair a chaidh còd a chuir an gnìomh tron ghnìomhaiche Perl “qx”.
Tha an so-leòntachd an làthair ann an innealan ESG a chaidh a sholarachadh air leth (inneal) le dreachan firmware bho 5.1.3.001 gu 9.2.0.006 in-ghabhalach. Thathas air lorg a dhèanamh air so-leòntachd bhon Dàmhair 2022 agus chun Chèitean 2023 bha an duilgheadas fhathast gun mhothachadh. Chaidh an so-leòntachd a chleachdadh le luchd-ionnsaigh gus grunn sheòrsaichean de malware a chuir a-steach air geataichean - SALTWATER, SEASPY agus SEASIDE, a bheir ruigsinneachd taobh a-muigh don inneal (backdoor) agus a thathas a ’cleachdadh gus casg a chuir air dàta dìomhair.
Chaidh an backdoor SALTWATER a dhealbhadh mar mhodal mod_udp.so airson pròiseas SMTP bsmtpd agus leig e le bhith a’ luchdachadh agus a’ ruith faidhlichean neo-riaghailteach san t-siostam, a bharrachd air a bhith a’ cur iarrtasan agus a’ tunail trafaic gu frithealaiche a-muigh. Gus smachd fhaighinn air an doras-cùil, chaidh casg a chuir air fiosan siostam cur, recv agus dùnadh.
Chaidh am pàirt droch-rùnach SEASIDE a sgrìobhadh ann an Lua, air a chuir a-steach mar mhodal mod_require_helo.lua airson an fhrithealaiche SMTP, agus bha e an urra ri sùil a chumail air òrdughan HELO / EHLO a bha a’ tighinn a-steach, lorg iarrtasan bhon t-seirbheisiche C&C, agus co-dhùnadh crìochan airson an t-slige cùil a chuir air bhog.
Bha SEASPY na shàr-sheirbheis BarracudaMail a chaidh a chuir a-steach mar sheirbheis siostam. Chleachd an t-seirbheis criathrag stèidhichte air PCAP gus sùil a chumail air trafaic air puirt lìonra 25 (SMTP) agus 587 agus chuir iad an gnìomh cùl-raon nuair a chaidh pacaid le sreath sònraichte a lorg.
Air 20 Cèitean, leig Barracuda a-mach ùrachadh le fuasgladh airson so-leòntachd, a chaidh a lìbhrigeadh gu gach inneal air 21 Cèitean. Air 8 Ògmhios, chaidh ainmeachadh nach robh an t-ùrachadh gu leòr agus gum feumadh luchd-cleachdaidh innealan a bha ann an cunnart a chuir an àite gu corporra. Thathas cuideachd a’ brosnachadh luchd-cleachdaidh iuchraichean ruigsinneachd agus teisteanasan sam bith a tha air a dhol thairis air slighean a chuir an àite an Barracuda ESG, leithid an fheadhainn co-cheangailte ri LDAP / AD agus Barracuda Cloud Control. A rèir dàta tòiseachaidh, tha timcheall air 11 inneal ESG air an lìonra a’ cleachdadh seirbheis smtpd Spam Firewall Barracuda Networks, a tha air a chleachdadh anns a ’Gheata Tèarainteachd Post-d.
Source: fosgailtenet.ru