バラクーダネットワークスは、電子メール添付ファイル処理モジュールのゼロデイ脆弱性の結果としてマルウェアの影響を受ける ESG (電子メール セキュリティ ゲートウェイ) デバイスを物理的に交換する必要があると発表しました。 以前にリリースされたパッチではインストールの問題をブロックするのに十分ではないことが報告されています。 詳細は明らかにされていないが、ハードウェアを交換するという決定は、おそらく低レベルでマルウェアをインストールし、フラッシュや工場出荷時設定へのリセットでは削除できない攻撃によるものと考えられる。 機器の交換は無償で行いますが、配送費や交換作業にかかる費用の補償は規定しておりません。
ESG は、企業の電子メールを攻撃、スパム、ウイルスから保護するためのハードウェアとソフトウェアのパッケージです。 18 月 0 日、ESG デバイスからの異常なトラフィックが検出され、悪意のあるアクティビティに関連していることが判明しました。 分析の結果、パッチが適用されていない (2023 デイ) 脆弱性 (CVE-28681-XNUMX) を利用してデバイスが侵害されたことが判明しました。この脆弱性により、特別に細工された電子メールを送信することでコードが実行される可能性があります。 この問題は、電子メールの添付ファイルとして送信された tar アーカイブ内のファイル名が適切に検証されていないことが原因で、Perl の「qx」オペレーターを介してコードを実行するときにエスケープをバイパスして、昇格されたシステム上で任意のコマンドが実行されることを許可していました。
この脆弱性は、ファームウェア バージョン 5.1.3.001 ~ 9.2.0.006 を備えた個別に提供される ESG デバイス (アプライアンス) に存在します。 この脆弱性の悪用は 2022 年 2023 月から追跡されており、XNUMX 年 XNUMX 月まで問題は気づかれないままでした。 この脆弱性は、攻撃者によってゲートウェイに数種類のマルウェア (SALTWATER、SEASPY、SEASIDE) をインストールするために悪用され、デバイスへの外部アクセス (バックドア) を提供し、機密データの傍受に使用されます。
SALTWATER バックドアは、bsmtpd SMTP プロセスの mod_udp.so モジュールとして設計されており、システム内で任意のファイルをロードして実行できるほか、リクエストのプロキシや外部サーバーへのトラフィックのトンネリングも可能です。 バックドアで制御を取得するには、send、recv、および close システム コールのインターセプトが使用されました。
SEASIDE の悪意のあるコンポーネントは Lua で作成され、SMTP サーバーの mod_require_helo.lua モジュールとしてインストールされ、受信 HELO/EHLO コマンドの監視、C&C サーバーからのリクエストの検出、リバース シェルを起動するためのパラメーターの決定を担当していました。
SEASPY は、システム サービスとしてインストールされた BarracudaMailService 実行可能ファイルでした。 このサービスは、PCAP ベースのフィルターを使用して 25 (SMTP) および 587 のネットワーク ポート上のトラフィックを監視し、特殊なシーケンスを持つパケットが検出されるとバックドアをアクティブにしました。
バラクーダは 20 月 21 日にこの脆弱性を修正したアップデートをリリースし、8 月 11 日にすべてのデバイスに配信されました。 XNUMX 月 XNUMX 日、アップデートでは不十分であり、ユーザーは侵害されたデバイスを物理的に交換する必要があると発表されました。 また、ユーザーは、LDAP/AD や Barracuda Cloud Control に関連付けられているものなど、Barracuda ESG と交差したアクセス キーや資格情報を置き換えることをお勧めします。 暫定データによると、電子メール セキュリティ ゲートウェイで使用される Barracuda Networks Spam Firewall smtpd サービスを使用するネットワーク上には約 XNUMX 台の ESG デバイスがあります。
出所: オープンネット.ru