ဟာ့ဒ်ဝဲ အစားထိုးရန် လိုအပ်သော Barracuda ESG တံခါးပေါက်များ၏ အပေးအယူ

Barracuda Networks သည် အီးမေးလ်ပူးတွဲလုပ်ဆောင်ခြင်း module တွင် 0 ရက်ကြာ အားနည်းချက်ကြောင့် malware ကြောင့် ထိခိုက်သည့် ESG (Email Security Gateway) စက်များကို အစားထိုးရန် လိုအပ်ကြောင်း ကြေညာခဲ့သည်။ တပ်ဆင်မှုပြဿနာကို တားဆီးရန် ယခင်ထွက်ရှိထားသော ဖာထေးမှုများသည် လုံလောက်မှုမရှိကြောင်း သတင်းရရှိပါသည်။ အသေးစိတ်အချက်အလက်များကို မဖော်ပြထားသော်လည်း စက်ပစ္စည်းများကို အစားထိုးရန် ဆုံးဖြတ်ချက်သည် အဆင့်နိမ့်သော Malware တပ်ဆင်မှုကို ဖြစ်ပေါ်စေပြီး firmware ကို အစားထိုးခြင်း သို့မဟုတ် ၎င်းအား စက်ရုံအခြေအနေသို့ ပြန်လည်သတ်မှတ်ခြင်းဖြင့် ၎င်းအား ဖယ်ရှားနိုင်ခြင်း မရှိခြင်းကြောင့်ဟု ယူဆရသည်။ စက်ပစ္စည်းများကို အခမဲ့ လဲလှယ်ပေးမည် ဖြစ်ပြီး ပို့ဆောင်ခနှင့် အစားထိုး အလုပ်သမား စရိတ်စကများကို မဖော်ပြထားပေ။

ESG သည် လုပ်ငန်းသုံးအီးမေးလ်များကို တိုက်ခိုက်မှုများ၊ spam များနှင့် ဗိုင်းရပ်စ်များမှ ကာကွယ်ရန်အတွက် ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲရှုပ်ထွေးမှုတစ်ခုဖြစ်သည်။ မေလ 18 ရက်နေ့တွင်၊ အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်နှင့်ဆက်စပ်နေသည်ဟုထင်ရသည့် ESG စက်များမှ မှားယွင်းသောအသွားအလာများကို မှတ်တမ်းတင်ခဲ့သည်။ အထူးဒီဇိုင်းထုတ်ထားသော အီးမေးလ်ပေးပို့ခြင်းဖြင့် သင့်ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် မပြင်ဆင်ထားသော (0-ရက်) အားနည်းချက် (CVE-2023-28681) ကို အသုံးပြု၍ စက်ပစ္စည်းများကို အပေးအယူလုပ်ထားကြောင်း ခွဲခြမ်းစိတ်ဖြာချက်တွင် ပြသခဲ့သည်။ အီးမေးလ် ပူးတွဲပါဖိုင်များအဖြစ် ပေးပို့သော tar archives အတွင်းရှိ ဖိုင်အမည်များကို မှန်ကန်စွာ အတည်ပြုနိုင်ခြင်း မရှိခြင်း နှင့် Perl "qx" အော်ပရေတာမှတဆင့် ကုဒ်ကို လုပ်ဆောင်သောအခါ ထွက်ပြေးခြင်းကို ကျော်လွှားကာ စနစ်တွင် မတရားသော အမိန့်ပေးမှုကို မြင့်မားသော အခွင့်ထူးများဖြင့် လုပ်ဆောင်ခွင့်ပြုခဲ့သည်။

5.1.3.001 မှ 9.2.0.006 မှ firmware ဗားရှင်းများပါရှိသော သီးခြားပံ့ပိုးပေးထားသည့် ESG စက်များ (စက်ပစ္စည်းများ) တွင် အားနည်းချက်ရှိနေပါသည်။ အားနည်းချက်ကို အသုံးချခြင်းဆိုင်ရာ အချက်အလက်များကို 2022 ခုနှစ် အောက်တိုဘာလအထိ ခြေရာခံနိုင်ပြီး 2023 ခုနှစ် မေလအထိ အဆိုပါပြဿနာကို မတွေ့ရှိသေးပါ။ စက်ပစ္စည်း (backdoor) သို့ ပြင်ပဝင်ရောက်ခွင့်ကို ပေးဆောင်ပြီး လျှို့ဝှက်ဒေတာကို ကြားဖြတ်ကြားဖြတ်ရန် အသုံးပြုသည့် တံခါးဝများတွင် မဲလ်ဝဲအမျိုးအစားများစွာကို တပ်ဆင်ရန် အားနည်းချက်ကို တိုက်ခိုက်သူများက အသုံးပြုခဲ့သည်။

SALTWATER နောက်ခံတံခါးကို bsmtpd SMTP လုပ်ငန်းစဉ်အတွက် mod_udp.so module တစ်ခုအဖြစ် ဒီဇိုင်းထုတ်ထားပြီး စနစ်တွင် မထင်သလိုဖိုင်များကို ဒေါင်းလုဒ်လုပ်ကာ လုပ်ဆောင်နိုင်သည့်အပြင် ပြင်ပဆာဗာသို့ ပရောက်စီတောင်းဆိုမှုများနှင့် ဥမင်လိုဏ်ခေါင်းအသွားအလာများကိုလည်း ခွင့်ပြုထားသည်။ ထိန်းချုပ်မှုရရှိရန် backdoor သည် send, recv နှင့် close system calls များကို ကြားဖြတ်အသုံးပြုသည်။

အန္တရာယ်ရှိသော အစိတ်အပိုင်း SEASIDE ကို SMTP ဆာဗာအတွက် မော်ဂျူး mod_require_helo.lua အဖြစ် ထည့်သွင်းပြီး Lua ဖြင့် ရေးသားထားပြီး အဝင် HELO/EHLO ညွှန်ကြားချက်များကို စောင့်ကြည့်ခြင်း၊ အမိန့်နှင့် ထိန်းချုပ်မှုဆာဗာမှ တောင်းဆိုချက်များကို ခွဲခြားသတ်မှတ်ခြင်းနှင့် ပြောင်းပြန်အခွံကို စတင်ခြင်းအတွက် ဘောင်များကို သတ်မှတ်ခြင်းတို့အတွက် တာဝန်ရှိပါသည်။

SEASPY သည် စနစ်ဝန်ဆောင်မှုအဖြစ် ထည့်သွင်းထားသော executable BarracudaMailService ဖိုင်တစ်ခုဖြစ်သည်။ ဝန်ဆောင်မှုသည် 25 (SMTP) နှင့် 587 ကွန်ရက်အဝင်ပေါက်များကို စောင့်ကြည့်ရန် PCAP-based filter ကိုအသုံးပြုပြီး အထူးအစီအစဉ်တစ်ခုပါ packet တစ်ခုကို တွေ့ရှိသောအခါ backdoor ကိုဖွင့်ပေးပါသည်။

မေလ 20 ရက်နေ့တွင် Barracuda သည် မေလ 21 ရက်နေ့တွင် စက်များအားလုံးသို့ ပေးပို့ခဲ့သည့် အားနည်းချက်အတွက် ပြင်ဆင်ချက်တစ်ခုနှင့်အတူ အပ်ဒိတ်တစ်ခုကို ထုတ်ပြန်ခဲ့သည်။ ဇွန်လ 8 ရက်နေ့တွင် အပ်ဒိတ်သည် မလုံလောက်ကြောင်းနှင့် သုံးစွဲသူများသည် အန္တရာယ်ရှိသော စက်များကို အစားထိုးရန် လိုအပ်မည်ဖြစ်ကြောင်း ကြေညာခဲ့သည်။ အသုံးပြုသူများအား LDAP/AD နှင့် Barracuda Cloud Control ကဲ့သို့သော Barracuda ESG နှင့် ထပ်နေသော မည်သည့်ဝင်ရောက်ခွင့်သော့များနှင့် အထောက်အထားများကိုမဆို အစားထိုးရန် အကြံပြုထားပါသည်။ ပဏာမဒေတာအရ၊ Email Security Gateway တွင်အသုံးပြုသည့် Barracuda Networks Spam Firewall smtpd ဝန်ဆောင်မှုကို အသုံးပြုသည့် ကွန်ရက်ပေါ်တွင် ESG စက် ၁၁ဝဝဝ ခန့်ရှိသည်။

source: opennet.ru