Barracuda Networks mengumumkan perlunya penggantian fisik perangkat ESG (Email Security Gateway) yang terkena malware karena kerentanan 0 hari dalam modul pemrosesan lampiran email. Dilaporkan bahwa patch yang dirilis sebelumnya tidak cukup untuk memblokir masalah instalasi. Rinciannya tidak diberikan, tetapi kemungkinan keputusan untuk mengganti peralatan tersebut dibuat karena serangan yang menyebabkan pemasangan malware pada tingkat rendah, dan ketidakmampuan untuk menghapusnya dengan mengganti firmware atau mengatur ulang ke kondisi pabrik. Peralatan akan diganti secara gratis; kompensasi untuk pengiriman dan biaya tenaga kerja pengganti tidak ditentukan.
ESG adalah kompleks perangkat keras dan perangkat lunak untuk melindungi email perusahaan dari serangan, spam, dan virus. Pada tanggal 18 Mei, lalu lintas anomali tercatat dari perangkat ESG, yang ternyata terkait dengan aktivitas jahat. Analisis menunjukkan bahwa perangkat disusupi menggunakan kerentanan yang belum ditambal (0 hari) (CVE-2023-28681), yang memungkinkan Anda mengeksekusi kode dengan mengirimkan email yang dirancang khusus. Masalah ini disebabkan oleh kurangnya validasi yang tepat atas nama file dalam arsip tar yang dikirim sebagai lampiran email, dan memungkinkan perintah sewenang-wenang dijalankan pada sistem dengan hak istimewa yang lebih tinggi, melewati pelolosan saat mengeksekusi kode melalui operator Perl "qx".
Kerentanan terdapat pada perangkat (peralatan) ESG yang disediakan secara terpisah dengan versi firmware dari 5.1.3.001 hingga 9.2.0.006 inklusif. Fakta eksploitasi kerentanan dapat ditelusuri hingga Oktober 2022 dan hingga Mei 2023 masalahnya masih belum terdeteksi. Kerentanan digunakan oleh penyerang untuk memasang beberapa jenis malware di gateway - SALTWATER, SEASPY dan SEASIDE, yang menyediakan akses eksternal ke perangkat (pintu belakang) dan digunakan untuk mencegat data rahasia.
Pintu belakang SALTWATER dirancang sebagai modul mod_udp.so untuk proses SMTP bsmtpd dan memungkinkan file arbitrer diunduh dan dieksekusi pada sistem, serta untuk permintaan proxy dan menyalurkan lalu lintas ke server eksternal. Untuk mendapatkan kendali, pintu belakang menggunakan intersepsi panggilan sistem kirim, terima, dan tutup.
Komponen berbahaya SEASIDE ditulis dalam Lua, diinstal sebagai modul mod_require_helo.lua untuk server SMTP dan bertanggung jawab untuk memantau perintah HELO/EHLO yang masuk, mengidentifikasi permintaan dari server perintah dan kontrol, dan menentukan parameter untuk meluncurkan shell terbalik.
SEASPY adalah file BarracudaMailService yang dapat dieksekusi yang diinstal sebagai layanan sistem. Layanan ini menggunakan filter berbasis PCAP untuk memantau lalu lintas pada port jaringan 25 (SMTP) dan 587 dan mengaktifkan pintu belakang ketika paket dengan urutan khusus terdeteksi.
Pada tanggal 20 Mei, Barracuda merilis pembaruan dengan perbaikan kerentanan, yang dikirimkan ke semua perangkat pada tanggal 21 Mei. Pada tanggal 8 Juni, diumumkan bahwa pembaruan saja tidak cukup dan pengguna harus mengganti perangkat yang disusupi secara fisik. Pengguna juga disarankan untuk mengganti kunci akses dan kredensial apa pun yang tumpang tindih dengan Barracuda ESG, seperti yang terkait dengan LDAP/AD dan Barracuda Cloud Control. Menurut data awal, ada sekitar 11 ribu perangkat ESG di jaringan yang menggunakan layanan smtpd Barracuda Networks Spam Firewall, yang digunakan di Email Security Gateway.
Sumber: opennet.ru