Barracuda Networks najavio je potrebu za fizičkom zamjenom ESG (Email Security Gateway) uređaja pogođenih zlonamjernim softverom kao rezultat 0-dnevne ranjivosti u modulu za rukovanje privicima e-pošte. Prijavljeno je da prethodno objavljene zakrpe nisu dovoljne da blokiraju problem instalacije. Pojedinosti nisu navedene, ali odluka o zamjeni hardvera vjerojatno je posljedica napada koji je instalirao zlonamjerni softver na niskoj razini i nije se mogao ukloniti fleširanjem ili vraćanjem na tvorničke postavke. Zamjena opreme bit će besplatna, a nema informacija o naknadi troškova dostave i zamjenskih radova.
ESG je hardverski i softverski paket za zaštitu poslovne e-pošte od napada, spama i virusa. Dana 18. svibnja otkriven je nenormalan promet s ESG uređaja, za koji se pokazalo da je povezan sa zlonamjernim aktivnostima. Analiza je pokazala da su uređaji bili ugroženi pomoću nezakrpane (0-dnevne) ranjivosti (CVE-2023-28681), koja vam omogućuje da izvršite svoj kod slanjem posebno izrađene e-pošte. Problem je bio uzrokovan nedostatkom odgovarajuće provjere valjanosti naziva datoteka unutar tar arhiva poslanih kao privici e-pošte, i dopušteno je izvršenje proizvoljne naredbe na povišenom sustavu, zaobilazeći izbjegavanje prilikom izvršavanja koda preko Perl "qx" operatora.
Ranjivost je prisutna u zasebno isporučenim ESG uređajima (uređajima) s verzijama firmvera od 5.1.3.001 do uključivo 9.2.0.006. Iskorištavanje ranjivosti prati se od listopada 2022. i do svibnja 2023. problem je ostao nezapažen. Ranjivost su napadači iskoristili za instaliranje nekoliko vrsta malwarea na gatewaye - SALTWATER, SEASPY i SEASIDE, koji omogućuju vanjski pristup uređaju (backdoor) i koriste se za presretanje povjerljivih podataka.
Stražnja vrata SALTWATER dizajnirana su kao mod_udp.so modul za bsmtpd SMTP proces i dozvoljavaju učitavanje i pokretanje proizvoljnih datoteka u sustavu, kao i proxy zahtjeve i tuneliranje prometa prema vanjskom poslužitelju. Da bi se dobila kontrola u backdooru, korišteno je presretanje slanja, primanja i zatvaranja sistemskih poziva.
Zlonamjerna komponenta SEASIDE napisana je u Lua, instalirana kao mod_require_helo.lua modul za SMTP poslužitelj, te je bila odgovorna za nadzor dolaznih HELO/EHLO naredbi, otkrivanje zahtjeva s C&C poslužitelja i određivanje parametara za pokretanje obrnute ljuske.
SEASPY je bila BarracudaMailService izvršna datoteka instalirana kao sistemska usluga. Usluga je koristila filtar temeljen na PCAP-u za praćenje prometa na 25 (SMTP) i 587 mrežnih portova i aktivirala je stražnja vrata kada je otkriven paket s posebnim nizom.
Dana 20. svibnja Barracuda je objavila ažuriranje s popravkom za ranjivost, koje je isporučeno na sve uređaje 21. svibnja. 8. lipnja objavljeno je da ažuriranje nije dovoljno te da korisnici moraju fizički zamijeniti ugrožene uređaje. Korisnici se također potiču da zamijene sve pristupne ključeve i vjerodajnice koji su se susreli s Barracuda ESG, poput onih povezanih s LDAP/AD i Barracuda Cloud Control. Prema preliminarnim podacima, na mreži postoji oko 11 ESG uređaja koji koriste uslugu Barracuda Networks Spam Firewall smtpd, koja se koristi u Email Security Gatewayu.
Izvor: opennet.ru