Barracuda Networks te anonse nesesite pou ranplase fizikman aparèy ESG (Email Security Gateway) ki afekte pa malveyan kòm rezilta yon vilnerabilite 0-jou nan modil pwosesis atachman imel la. Yo rapòte ke patch ki te deja lage yo pa ase pou bloke pwoblèm enstalasyon an. Detay yo pa bay, men prezimableman desizyon an pou ranplase pyès ki nan konpitè te pran akòz yon atak ki te mennen nan enstalasyon an nan malveyan nan yon nivo ki ba, ak enkapasite a retire li nan ranplase firmwèr la oswa reset li nan yon eta faktori. Yo pral ranplase ekipman an gratis; ranbousman pou livrezon ak depans travay ranplasman yo pa espesifye.
ESG se yon konplèks pyès ki nan konpitè ak lojisyèl pou pwoteje imel antrepriz kont atak, spam ak viris. Sou 18 me, trafik anomal te anrejistre nan aparèy ESG, ki te tounen soti yo dwe asosye ak aktivite move. Analiz la te montre ke aparèy yo te konpwomèt lè l sèvi avèk yon vilnerabilite san patch (0-jou) (CVE-2023-28681), ki pèmèt ou egzekite kòd ou a lè w voye yon imèl ki fèt espesyalman. Pwoblèm nan te koze pa yon mank de validation apwopriye nan non fichye nan achiv goudwon yo voye kòm atachman imel, epi li te pèmèt yon kòmandman abitrè yo dwe egzekite sou sistèm nan ak privilèj elve, kontoune chape lè egzekite kòd nan Perl "qx" operatè a.
Vilnerabilite a prezan nan aparèy ESG (aparèy) ki apwovizyone separeman ak vèsyon firmwèr soti nan 5.1.3.001 a 9.2.0.006 enklizif. Reyalite eksplwatasyon vilnerabilite a ka remonte nan oktòb 2022 e jiska me 2023 pwoblèm nan te rete san detekte. Vilnerabilite a te itilize pa atakè yo enstale plizyè kalite malveyan sou pòtay - SALTWATER, SEASPY ak SEASIDE, ki bay aksè ekstèn nan aparèy la (backdoor) epi yo itilize yo entèsepte done konfidansyèl yo.
Backdoor SALTWATER la te fèt kòm yon mod_udp.so modil nan pwosesis bsmtpd SMTP la epi li te pèmèt dosye abitrè yo telechaje ak egzekite sou sistèm nan, osi byen ke demann proxy ak trafik tinèl nan yon sèvè ekstèn. Pou jwenn kontwòl, backdoor a te itilize entèsepsyon nan voye, recv ak fèmen sistèm apèl yo.
Eleman move SEASIDE te ekri nan Lua, enstale kòm yon modil mod_require_helo.lua pou sèvè SMTP a e li te responsab pou kontwole kòmandman HELO/EHLO kap vini yo, idantifye demann ki soti nan sèvè kòmand ak kontwòl, ak detèmine paramèt pou lanse yon koki inverse.
SEASPY se te yon dosye ègzekutabl BarracudaMailService enstale kòm yon sèvis sistèm. Sèvis la te itilize yon filtè ki baze sou PCAP pou kontwole trafik sou 25 (SMTP) ak 587 pò rezo yo epi li te aktive yon pòt dèyè lè yo te detekte yon pake ki gen yon sekans espesyal.
Sou 20 me, Barracuda te pibliye yon aktyalizasyon ak yon ranje pou vilnerabilite a, ki te lage nan tout aparèy sou 21 me. Sou 8 jen, yo te anonse ke aktyalizasyon a pa t 'ase epi itilizatè yo ta bezwen ranplase fizikman aparèy yo konpwomèt. Itilizatè yo konseye tou pou ranplase nenpòt kle aksè ak kalifikasyon ki sipèpoze ak Barracuda ESG, tankou sa ki asosye ak LDAP/AD ak Barracuda Cloud Control. Dapre done preliminè, gen apeprè 11 mil aparèy ESG sou rezo a ki itilize sèvis Barracuda Networks Spam Firewall smtpd, ki itilize nan Gateway Sekirite Imèl la.
Sous: opennet.ru