Barracuda Networks-ը հայտարարեց, որ անհրաժեշտ է ֆիզիկապես փոխարինել ESG (Email Security Gateway) սարքերը, որոնք տուժել են չարամիտ ծրագրերից՝ էլփոստի հավելվածների մշակման մոդուլում 0-օրյա խոցելիության հետևանքով: Հաղորդվում է, որ նախկինում թողարկված պատչերը բավարար չեն տեղադրման խնդիրը արգելափակելու համար։ Մանրամասները չեն տրամադրվում, բայց ենթադրաբար, սարքավորումները փոխարինելու որոշումը կայացվել է հարձակման պատճառով, որը հանգեցրել է չարամիտ ծրագրերի ցածր մակարդակի տեղադրմանը և այն հեռացնելու անհնարինությանը՝ փոխարինելով որոնվածը կամ վերակայելով այն գործարանային վիճակի: Սարքավորումը կփոխարինվի անվճար, առաքման և փոխարինման աշխատանքային ծախսերի փոխհատուցում չի նշվում։
ESG-ը ապարատային և ծրագրային համալիր է՝ ձեռնարկության էլ.փոստը հարձակումներից, սպամից և վիրուսներից պաշտպանելու համար: Մայիսի 18-ին ESG սարքերից անոմալ երթեւեկություն է գրանցվել, որը, պարզվել է, կապված է վնասակար գործունեության հետ։ Վերլուծությունը ցույց է տվել, որ սարքերը վտանգվել են՝ օգտագործելով չկարկատված (0-օրյա) խոցելիությունը (CVE-2023-28681), որը թույլ է տալիս գործարկել ձեր կոդը՝ ուղարկելով հատուկ մշակված էլ. Խնդիրն առաջացել է tar արխիվներում ֆայլերի անունների պատշաճ վավերացման բացակայության պատճառով, որոնք ուղարկվել են որպես էլ.փոստի կցորդներ, և թույլ է տվել, որ կամայական հրամանը կատարվի համակարգում բարձր արտոնություններով, շրջանցելով Perl «qx» օպերատորի միջոցով կոդը կատարելիս խուսափելը:
Խոցելիությունը առկա է առանձին մատակարարված ESG սարքերում (սարքեր) 5.1.3.001-ից մինչև 9.2.0.006 ներառյալ որոնվածի տարբերակներով: Խոցելիության շահագործման փաստերին կարելի է հետևել մինչև 2022 թվականի հոկտեմբերը և մինչև 2023 թվականի մայիսը խնդիրը մնաց չբացահայտված: Խոցելիությունն օգտագործվել է հարձակվողների կողմից դարպասների վրա մի քանի տեսակի չարամիտ ծրագրեր տեղադրելու համար՝ SALTWATER, SEASPY և SEASIDE, որոնք ապահովում են արտաքին մուտք դեպի սարք (հետին դուռ) և օգտագործվում են գաղտնի տվյալները գաղտնալսելու համար:
SALTWATER backdoor-ը նախագծվել է որպես mod_udp.so մոդուլ bsmtpd SMTP գործընթացի համար և թույլ է տվել կամայական ֆայլեր ներբեռնել և կատարել համակարգում, ինչպես նաև վստահված անձի հարցումներ և թունելային տրաֆիկ դեպի արտաքին սերվեր: Վերահսկողություն ձեռք բերելու համար ետնադուռն օգտագործում էր ուղարկել, recv և փակել համակարգային զանգերը:
SEASIDE վնասակար բաղադրիչը գրվել է Lua-ով, տեղադրվել է որպես mod_require_helo.lua մոդուլ SMTP սերվերի համար և պատասխանատու է մուտքային HELO/EHLO հրամանների մոնիտորինգի, հրամանի և կառավարման սերվերի հարցումների նույնականացման և հակադարձ կեղևի գործարկման պարամետրերի որոշման համար:
SEASPY-ը գործարկվող BarracudaMailService ֆայլ էր, որը տեղադրված էր որպես համակարգի ծառայություն: Ծառայությունն օգտագործել է PCAP-ի վրա հիմնված զտիչ՝ 25 (SMTP) և 587 ցանցային նավահանգիստների երթևեկությունը վերահսկելու համար և ակտիվացրել է հետնադուռը, երբ հայտնաբերվում է հատուկ հաջորդականությամբ փաթեթ:
Մայիսի 20-ին Barracuda-ն թողարկեց թարմացում՝ շտկելով խոցելիությունը, որը մատակարարվել էր բոլոր սարքերին մայիսի 21-ին: Հունիսի 8-ին հայտարարվեց, որ թարմացումը բավարար չէ, և օգտատերերը պետք է ֆիզիկապես փոխարինեն վնասված սարքերը: Օգտատերերին նաև խորհուրդ է տրվում փոխարինել ցանկացած մուտքի ստեղներ և հավատարմագրեր, որոնք համընկնում են Barracuda ESG-ի հետ, օրինակ՝ LDAP/AD-ի և Barracuda Cloud Control-ի հետ կապված: Ըստ նախնական տվյալների՝ ցանցում կա մոտ 11 հազար ESG սարք՝ օգտագործելով Barracuda Networks Spam Firewall smtpd ծառայությունը, որն օգտագործվում է Email Security Gateway-ում։
Source: opennet.ru