Barracuda Networks электрондық пошта тіркемелерін өңдеу модуліндегі 0 күндік осалдықтың нәтижесінде зиянды бағдарлама әсер еткен ESG (Электрондық пошта қауіпсіздік шлюзі) құрылғыларын физикалық түрде ауыстыру қажеттігін жариялады. Орнату мәселесін блоктау үшін бұрын шығарылған патчтардың жеткіліксіз екені хабарланды. Егжей-тегжейлер берілмейді, бірақ жабдықты ауыстыру туралы шешім зиянды бағдарламаны төмен деңгейде орнатқан және жыпылықтау немесе зауыттық параметрлерді қалпына келтіру арқылы жою мүмкін емес шабуылға байланысты болуы мүмкін. Жабдық тегін ауыстырылады, жеткізу және ауыстыру жұмыстарының шығындарын өтеу туралы ақпарат жоқ.
ESG — кәсіпорынның электрондық поштасын шабуылдардан, спамнан және вирустардан қорғауға арналған аппараттық және бағдарламалық құрал. 18 мамырда ESG құрылғыларынан аномальды трафик анықталды, ол зиянды әрекетпен байланысты болып шықты. Талдау көрсеткендей, құрылғыларға арнайы жасалған электрондық поштаны жіберу арқылы кодты орындауға мүмкіндік беретін түзетілмеген (0 күндік) осалдық (CVE-2023-28681) арқылы бұзылған. Мәселе электрондық пошта тіркемелері ретінде жіберілген tar мұрағаттарындағы файл атауларының дұрыс тексерілмеуінен туындады және Perl «qx» операторы арқылы кодты орындау кезінде қашуды айналып өтіп, жоғары жүйеде еркін пәрменді орындауға мүмкіндік берді.
Осалдық 5.1.3.001 бастап 9.2.0.006 қоса алғанда микробағдарлама нұсқалары бар бөлек жеткізілетін ESG құрылғыларында (құрылғы) бар. Осалдықты пайдалану 2022 жылдың қазан айынан бастап бақыланды және 2023 жылдың мамырына дейін мәселе байқалмай қалды. Бұл осалдықты шабуылдаушылар шлюздерге зиянды бағдарламалардың бірнеше түрін орнату үшін пайдаланды – SALTWATER, SEASPY және SEASIDE, олар құрылғыға сыртқы қолжетімділікті қамтамасыз етеді (бэкдор) және құпия деректерді ұстау үшін қолданылады.
SALTWATER бэкдоры bsmtpd SMTP процесі үшін mod_udp.so модулі ретінде жасалған және жүйеде ерікті файлдарды жүктеуге және іске қосуға, сондай-ақ прокси-сервер сұрауларына және сыртқы серверге трафикті туннельдеуге мүмкіндік берді. Бэкдорда бақылауды алу үшін жіберу, қабылдау және жабу жүйелік қоңырауларын ұстау қолданылды.
SEASIDE зиянды құрамдас бөлігі Lua тілінде жазылған, SMTP сервері үшін mod_require_helo.lua модулі ретінде орнатылған және кіріс HELO/EHLO пәрмендерін бақылауға, C&C серверінен сұрауларды анықтауға және кері қабықты іске қосу параметрлерін анықтауға жауапты болды.
SEASPY жүйелік қызмет ретінде орнатылған BarracudaMailService орындалатын файлы болды. Қызмет 25 (SMTP) және 587 желі порттарындағы трафикті бақылау үшін PCAP негізіндегі сүзгіні қолданды және арнайы ретті пакет анықталған кезде бэкдорды белсендірді.
20 мамырда Barracuda осалдықты түзететін жаңартуды шығарды, ол 21 мамырда барлық құрылғыларға жеткізілді. 8 маусымда жаңарту жеткіліксіз екені және пайдаланушыларға бұзылған құрылғыларды физикалық түрде ауыстыру қажет екендігі жарияланды. Сондай-ақ пайдаланушыларға LDAP/AD және Barracuda Cloud Control сияқты Barracuda ESG арқылы қиылысатын кез келген кіру кілттері мен тіркелгі деректерін ауыстыру ұсынылады. Алдын ала мәліметтерге сәйкес, электрондық пошта қауіпсіздік шлюзінде қолданылатын Barracuda Networks Spam Firewall smtpd қызметін пайдаланатын желіде шамамен 11 XNUMX ESG құрылғысы бар.
Ақпарат көзі: opennet.ru