Barracuda Networks ħabbret il-ħtieġa li jissostitwixxu fiżikament l-apparat ESG (Email Security Gateway) affettwat minn malware bħala riżultat ta 'vulnerabbiltà ta' 0-day fil-modulu tal-ipproċessar tal-attachments tal-email. Huwa rrappurtat li l-irqajja rilaxxati qabel mhumiex biżżejjed biex jimblukkaw il-problema tal-installazzjoni. Dettalji mhumiex ipprovduti, iżda preżumibbilment id-deċiżjoni biex jiġi sostitwit it-tagħmir saret minħabba attakk li wassal għall-installazzjoni ta 'malware f'livell baxx, u l-inabbiltà li jitneħħa billi jissostitwixxi l-firmware jew reset għal stat ta' fabbrika. It-tagħmir se jiġi sostitwit mingħajr ħlas; kumpens għall-ispejjeż tal-kunsinna u tax-xogħol ta 'sostituzzjoni mhuwiex speċifikat.
L-ESG huwa kumpless ta' ħardwer u softwer għall-protezzjoni tal-email tal-intrapriża minn attakki, spam u viruses. Fit-18 ta’ Mejju, ġie rreġistrat traffiku anomali minn apparat ESG, li rriżulta li kien assoċjat ma’ attività malizzjuża. L-analiżi wriet li l-apparati ġew kompromessi bl-użu ta’ vulnerabbiltà mhux imtaqqba (0-day) (CVE-2023-28681), li tippermettilek tesegwixxi l-kodiċi tiegħek billi tibgħat email iddisinjata apposta. Il-kwistjoni kienet ikkawżata minn nuqqas ta 'validazzjoni xierqa tal-ismijiet tal-fajls fi ħdan l-arkivji tal-qatran mibgħuta bħala attachments tal-email, u ppermettiet li jiġi esegwit kmand arbitrarju fuq is-sistema bi privileġġi elevati, billi jinjora l-ħarba meta tesegwixxi kodiċi permezz tal-operatur Perl "qx".
Il-vulnerabbiltà hija preżenti f'apparat ESG fornut separatament (appliances) b'verżjonijiet tal-firmware minn 5.1.3.001 sa 9.2.0.006 inklużi. Il-fatti ta' sfruttament tal-vulnerabbiltà jistgħu jiġu rintraċċati lura għal Ottubru 2022 u sa Mejju 2023 il-problema baqgħet ma nstabx. Il-vulnerabbiltà ntużat minn attakkanti biex jinstallaw diversi tipi ta 'malware fuq gateways - SALTWATER, SEASPY u SEASIDE, li jipprovdu aċċess estern għall-apparat (backdoor) u jintużaw biex jinterċettaw data kunfidenzjali.
Il-backdoor SALTWATER kien iddisinjat bħala modulu mod_udp.so għall-proċess SMTP bsmtpd u ppermetta li fajls arbitrarji jitniżżlu u jiġu esegwiti fuq is-sistema, kif ukoll għal talbiet ta 'proxy u traffiku tal-mina għal server estern. Biex tikseb il-kontroll, il-backdoor uża l-interċettazzjoni tas-sejħiet tas-sistema tibgħat, recv u qrib.
Il-komponent malizzjuż SEASIDE kien miktub f'Lua, installat bħala modulu mod_require_helo.lua għas-server SMTP u kien responsabbli għall-monitoraġġ tal-kmandi HELO/EHLO deħlin, l-identifikazzjoni tat-talbiet mis-server tal-kmand u l-kontroll, u d-determinazzjoni ta 'parametri għat-tnedija ta' qoxra inversa.
SEASPY kien fajl BarracudaMailService eżekutibbli installat bħala servizz tas-sistema. Is-servizz uża filtru bbażat fuq PCAP biex jimmonitorja t-traffiku fuq 25 (SMTP) u 587 port tan-netwerk u attiva backdoor meta ġie skopert pakkett b'sekwenza speċjali.
Fl-20 ta 'Mejju, Barracuda ħareġ aġġornament b'soluzzjoni għall-vulnerabbiltà, li ntbagħat lill-apparati kollha fil-21 ta' Mejju. Fit-8 ta 'Ġunju, tħabbar li l-aġġornament ma kienx biżżejjed u l-utenti jkollhom bżonn jissostitwixxu fiżikament l-apparati kompromessi. L-utenti huma wkoll avżati biex jissostitwixxu kwalunkwe ċwievet ta 'aċċess u kredenzjali li jkunu koinċidu ma' Barracuda ESG, bħal dawk assoċjati ma 'LDAP/AD u Barracuda Cloud Control. Skont dejta preliminari, hemm madwar 11-il elf apparat ESG fuq in-netwerk li juża s-servizz Barracuda Networks Spam Firewall smtpd, li jintuża fil-Email Security Gateway.
Sors: opennet.ru