Barracuda Networks anunciou a necesidade de substituír fisicamente os dispositivos ESG (Email Security Gateway) afectados por malware como resultado dunha vulnerabilidade de 0 días no módulo de manexo de anexos de correo electrónico. Infórmase de que os parches publicados anteriormente non son suficientes para bloquear o problema de instalación. Non se dan detalles, pero a decisión de substituír o hardware presumiblemente débese a un ataque que instalou malware a un nivel baixo e que non se puido eliminar mediante o flasheo ou o restablecemento de fábrica. Os equipos serán substituídos de xeito gratuíto, pero non se especifica a compensación polo custo de entrega e os traballos de substitución.
ESG é un paquete de hardware e software para protexer o correo electrónico empresarial de ataques, spam e virus. O 18 de maio detectouse tráfico anómalo desde dispositivos ESG, que resultou estar asociado a actividade maliciosa. A análise mostrou que os dispositivos estaban comprometidos mediante unha vulnerabilidade sen parches (0 días) (CVE-2023-28681), que che permite executar o teu código enviando un correo electrónico especialmente elaborado. O problema foi causado pola falta de validación adecuada dos nomes de ficheiros dentro dos arquivos tar enviados como anexos de correo electrónico, e permitiu que se executasen comandos arbitrarios nun sistema elevado, evitando escapar ao executar código a través do operador "qx" de Perl.
A vulnerabilidade está presente en dispositivos ESG (dispositivos) subministrados por separado con versións de firmware desde a 5.1.3.001 ata a 9.2.0.006 inclusive. A explotación da vulnerabilidade foi rastrexada desde outubro de 2022 e ata maio de 2023 o problema pasou desapercibido. A vulnerabilidade foi utilizada polos atacantes para instalar varios tipos de malware en pasarelas: SALTWATER, SEASPY e SEASIDE, que proporcionan acceso externo ao dispositivo (porta traseira) e úsanse para interceptar datos confidenciais.
A porta traseira SALTWATER foi deseñada como un módulo mod_udp.so para o proceso SMTP bsmtpd e permitiu cargar e executar ficheiros arbitrarios no sistema, así como enviar solicitudes de proxy e canalizar o tráfico a un servidor externo. Para gañar o control na porta traseira, utilizouse a interceptación das chamadas do sistema de envío, recepción e peche.
O compoñente malicioso SEASIDE escribiuse en Lua, instalouse como un módulo mod_require_helo.lua para o servidor SMTP e foi o responsable de supervisar os comandos HELO/EHLO entrantes, detectar as solicitudes do servidor C&C e determinar os parámetros para iniciar o shell inverso.
SEASPY era un executable BarracudaMailService instalado como servizo do sistema. O servizo utilizou un filtro baseado en PCAP para supervisar o tráfico en 25 (SMTP) e 587 portos de rede e activou unha porta traseira cando se detectaba un paquete cunha secuencia especial.
O 20 de maio, Barracuda lanzou unha actualización cunha corrección para a vulnerabilidade, que foi entregada a todos os dispositivos o 21 de maio. O 8 de xuño, anunciouse que a actualización non era suficiente e que os usuarios necesitaban substituír fisicamente os dispositivos comprometidos. Tamén se anima aos usuarios a substituír as claves e credenciais de acceso que se cruzaron co Barracuda ESG, como as asociadas con LDAP/AD e Barracuda Cloud Control. Segundo datos preliminares, hai uns 11 dispositivos ESG na rede que usan o servizo smtpd de Barracuda Networks Spam Firewall, que se usa na Pasarela de Seguridade do Correo Electrónico.
Fonte: opennet.ru