Barracuda Networks ha annunciato la necessità di sostituire fisicamente i dispositivi ESG (Email Security Gateway) interessati da malware a seguito di una vulnerabilità di 0 giorni nel modulo di gestione degli allegati e-mail. Si segnala che le patch precedentemente rilasciate non sono sufficienti a bloccare il problema di installazione. Non vengono forniti dettagli, ma la decisione di sostituire l'hardware è presumibilmente dovuta a un attacco che ha installato malware a un livello basso e non è stato possibile rimuoverlo tramite flashing o reset di fabbrica. L'apparecchiatura verrà sostituita gratuitamente, ma non è specificato il risarcimento per il costo della consegna e del lavoro di sostituzione.
ESG è un pacchetto hardware e software per proteggere la posta elettronica aziendale da attacchi, spam e virus. Il 18 maggio è stato rilevato traffico anomalo dai dispositivi ESG, che si è rivelato associato ad attività dannose. L'analisi ha mostrato che i dispositivi sono stati compromessi utilizzando una vulnerabilità senza patch (0 giorni) (CVE-2023-28681), che consente di eseguire il codice inviando un'e-mail appositamente predisposta. Il problema era causato dalla mancanza di un'adeguata convalida dei nomi di file all'interno degli archivi tar inviati come allegati di posta elettronica e consentiva l'esecuzione di comandi arbitrari su un sistema elevato, ignorando l'escape durante l'esecuzione del codice tramite l'operatore Perl "qx".
La vulnerabilità è presente nei dispositivi ESG forniti separatamente (appliance) con versioni firmware da 5.1.3.001 a 9.2.0.006 incluse. Lo sfruttamento della vulnerabilità è stato tracciato da ottobre 2022 e fino a maggio 2023 il problema è rimasto inosservato. La vulnerabilità è stata sfruttata dagli aggressori per installare diversi tipi di malware sui gateway: SALTWATER, SEASPY e SEASIDE, che forniscono l'accesso esterno al dispositivo (backdoor) e vengono utilizzati per intercettare dati riservati.
La backdoor SALTWATER è stata progettata come modulo mod_udp.so per il processo bsmtpd SMTP e ha consentito il caricamento e l'esecuzione di file arbitrari nel sistema, nonché l'inoltro di richieste e il tunneling del traffico verso un server esterno. Per ottenere il controllo nella backdoor, è stata utilizzata l'intercettazione delle chiamate di sistema send, recv e close.
Il componente dannoso SEASIDE è stato scritto in Lua, installato come modulo mod_require_helo.lua per il server SMTP ed era responsabile del monitoraggio dei comandi HELO/EHLO in entrata, del rilevamento delle richieste dal server C&C e della determinazione dei parametri per l'avvio della shell inversa.
SEASPY era un eseguibile BarracudaMailService installato come servizio di sistema. Il servizio utilizzava un filtro basato su PCAP per monitorare il traffico sulle porte di rete 25 (SMTP) e 587 e attivava una backdoor quando veniva rilevato un pacchetto con una sequenza speciale.
Il 20 maggio, Barracuda ha rilasciato un aggiornamento con una correzione per la vulnerabilità, che è stata distribuita a tutti i dispositivi il 21 maggio. L'8 giugno è stato annunciato che l'aggiornamento non era sufficiente e gli utenti dovevano sostituire fisicamente i dispositivi compromessi. Gli utenti sono inoltre incoraggiati a sostituire le chiavi di accesso e le credenziali che hanno incrociato il percorso con Barracuda ESG, come quelle associate a LDAP/AD e Barracuda Cloud Control. Secondo i dati preliminari, sulla rete sono presenti circa 11 dispositivi ESG che utilizzano il servizio Barracuda Networks Spam Firewall smtpd, utilizzato nell'Email Security Gateway.
Fonte: opennet.ru