Barracuda Networks ngumumake perlu ngganti piranti ESG (Email Security Gateway) kanthi fisik sing kena pengaruh malware minangka akibat saka kerentanan 0 dina ing modul penanganan lampiran email. Kacarita patch sing dirilis sadurunge ora cukup kanggo mblokir masalah instalasi. Rincian ora diwenehake, nanging keputusan kanggo ngganti hardware bisa uga amarga serangan sing nginstal malware ing tingkat sing kurang lan ora bisa dicopot kanthi flashing utawa ngreset pabrik. Peralatan kasebut bakal diganti kanthi gratis, nanging ganti rugi kanggo biaya pangiriman lan karya panggantos ora ditemtokake.
ESG minangka paket hardware lan piranti lunak kanggo nglindhungi email perusahaan saka serangan, spam lan virus. Ing tanggal 18 Mei, lalu lintas anomali saka piranti ESG dideteksi, sing ana hubungane karo kegiatan ala. Analisis kasebut nuduhake manawa piranti kasebut dikompromi nggunakake kerentanan (0-dina) sing ora ditambal (CVE-2023-28681), sing ngidini sampeyan nglakokake kode kanthi ngirim email sing digawe khusus. Masalah kasebut disebabake kekurangan validasi jeneng file ing arsip tar sing dikirim minangka lampiran email, lan ngidini printah sewenang-wenang bisa dieksekusi ing sistem sing luwih dhuwur, ora bisa lolos nalika ngeksekusi kode liwat operator Perl "qx".
Kerentanan kasebut ana ing piranti (perangkat) ESG sing disedhiyakake kanthi kapisah kanthi versi perangkat kukuh saka 5.1.3.001 nganti 9.2.0.006 klebu. Eksploitasi kerentanan wis dilacak wiwit Oktober 2022 lan nganti Mei 2023 masalah kasebut tetep ora dingerteni. Kerentanan kasebut digunakake dening panyerang kanggo nginstal sawetara jinis malware ing gateway - SALTWATER, SEASPY lan SEASIDE, sing nyedhiyakake akses eksternal menyang piranti kasebut (lawang mburi) lan digunakake kanggo nyegat data rahasia.
Backdoor SALTWATER dirancang minangka modul mod_udp.so kanggo proses SMTP bsmtpd lan ngidini mbukak lan mbukak file sewenang-wenang ing sistem, uga panjaluk proxy lan lalu lintas tunneling menyang server eksternal. Kanggo entuk kontrol ing backdoor, interception saka send, recv lan nutup telpon sistem digunakake.
Komponen angkoro SEASIDE ditulis ing Lua, diinstal minangka modul mod_require_helo.lua kanggo server SMTP, lan tanggung jawab kanggo ngawasi mlebu HELO / printah EHLO, ndeteksi panjalukan saka server C & C, lan nemtokake paramèter kanggo miwiti Nihan mbalikke.
SEASPY minangka eksekusi BarracudaMailService sing diinstal minangka layanan sistem. Layanan kasebut nggunakake filter basis PCAP kanggo ngawasi lalu lintas ing 25 (SMTP) lan 587 port jaringan lan ngaktifake backdoor nalika paket kanthi urutan khusus dideteksi.
Ing tanggal 20 Mei, Barracuda ngrilis nganyari kanthi ndandani kerentanan kasebut, sing dikirim menyang kabeh piranti tanggal 21 Mei. Ing tanggal 8 Juni, diumumake manawa nganyari ora cukup lan pangguna kudu ngganti piranti sing dikompromi kanthi fisik. Pangguna uga dianjurake kanggo ngganti sembarang tombol akses lan kapercayan sing wis ngliwati dalan karo Barracuda ESG, kayata sing ana gandhengane karo LDAP/AD lan Barracuda Cloud Control. Miturut data awal, ana sekitar 11 piranti ESG ing jaringan nggunakake layanan smtpd Spam Firewall Barracuda Networks, sing digunakake ing Gateway Keamanan Email.
Source: opennet.ru