하드웨어 교체가 필요한 Barracuda ESG 게이트웨이 손상

Barracuda Networks는 이메일 첨부 파일 처리 모듈의 0-day 취약점으로 인해 맬웨어의 영향을 받는 ESG(Email Security Gateway) 장치를 물리적으로 교체해야 한다고 발표했습니다. 이전에 출시된 패치로는 설치 문제를 차단하기에 충분하지 않은 것으로 보고되었습니다. 자세한 내용은 나와 있지 않으나 하드웨어 교체 결정은 악성코드가 낮은 수준으로 설치되어 플래싱이나 공장초기화로 제거할 수 없는 공격 때문인 것으로 추정된다. 장비는 무상으로 교체해 드리지만, 배송비 및 교체 작업에 대한 보상은 명시되어 있지 않습니다.

ESG는 기업 이메일을 공격, 스팸 및 바이러스로부터 보호하기 위한 하드웨어 및 소프트웨어 패키지입니다. 18월 0일 ESG 장치에서 비정상적인 트래픽이 감지되었으며 이는 악성 활동과 관련이 있는 것으로 밝혀졌습니다. 분석 결과 장치는 패치되지 않은(2023일) 취약점(CVE-28681-XNUMX)을 사용하여 손상되었으며, 이 취약점을 통해 특별히 제작된 이메일을 전송하여 코드를 실행할 수 있습니다. 이 문제는 이메일 첨부 파일로 전송된 tar 아카이브 내의 파일 이름에 대한 적절한 유효성 검사가 부족하여 발생했으며 Perl "qx" 연산자를 통해 코드를 실행할 때 이스케이프를 우회하여 상승된 시스템에서 임의의 명령을 실행할 수 있도록 허용했습니다.

취약점은 펌웨어 버전이 5.1.3.001에서 9.2.0.006까지인 별도로 제공된 ESG 장치(어플라이언스)에 존재합니다. 이 취약점의 악용은 2022년 2023월부터 추적되었으며 XNUMX년 XNUMX월까지 문제가 발견되지 않았습니다. 이 취약점은 공격자가 장치(백도어)에 대한 외부 액세스를 제공하고 기밀 데이터를 가로채는 데 사용되는 SALTWATER, SEASPY 및 SEASIDE와 같은 게이트웨이에 여러 유형의 맬웨어를 설치하는 데 사용되었습니다.

SALTWATER 백도어는 bsmtpd SMTP 프로세스를 위한 mod_udp.so 모듈로 설계되었으며 시스템에서 임의의 파일을 로드 및 실행할 수 있을 뿐만 아니라 요청을 프록싱하고 트래픽을 외부 서버로 터널링할 수 있습니다. 백도어에서 제어권을 얻기 위해 전송, 수신 및 종료 시스템 호출을 가로채는 방법이 사용되었습니다.

SEASIDE 악성 구성 요소는 Lua로 작성되었으며 SMTP 서버용 mod_require_helo.lua 모듈로 설치되었으며 들어오는 HELO/EHLO 명령을 모니터링하고 C&C 서버에서 요청을 감지하고 리버스 셸을 시작하기 위한 매개 변수를 결정하는 역할을 했습니다.

SEASPY는 시스템 서비스로 설치된 BarracudaMailService 실행 파일이었습니다. 이 서비스는 PCAP 기반 필터를 사용하여 25개(SMTP) 및 587개 네트워크 포트의 트래픽을 모니터링하고 특수 시퀀스가 ​​있는 패킷이 감지되면 백도어를 활성화했습니다.

20월 21일 Barracuda는 8월 11일 모든 장치에 전달된 취약점에 대한 수정 사항이 포함된 업데이트를 발표했습니다. XNUMX월 XNUMX일, 업데이트가 충분하지 않으며 사용자가 손상된 장치를 물리적으로 교체해야 한다고 발표했습니다. 또한 사용자는 LDAP/AD 및 Barracuda Cloud Control과 관련된 것과 같이 Barracuda ESG와 교차 경로가 있는 모든 액세스 키 및 자격 증명을 교체하는 것이 좋습니다. 예비 데이터에 따르면 Email Security Gateway에서 사용되는 Barracuda Networks Spam Firewall smtpd 서비스를 사용하는 네트워크에는 약 XNUMX개의 ESG 장치가 있습니다.

출처 : opennet.ru