Barracuda Networks kondigde de noodzaak aan om ESG-apparaten (Email Security Gateway) fysiek te vervangen die getroffen zijn door malware als gevolg van een 0-day-kwetsbaarheid in de module voor het afhandelen van e-mailbijlagen. Naar verluidt zijn eerder uitgebrachte patches niet voldoende om het installatieprobleem te blokkeren. Details worden niet gegeven, maar de beslissing om de hardware te vervangen is vermoedelijk het gevolg van een aanval die malware op een laag niveau installeerde en niet kon worden verwijderd door te flashen of de fabrieksinstellingen te resetten. De apparatuur wordt kosteloos vervangen, maar een vergoeding voor de kosten van aflevering en vervangend werk wordt niet genoemd.
ESG is een hardware- en softwarepakket om zakelijke e-mail te beschermen tegen aanvallen, spam en virussen. Op 18 mei werd abnormaal verkeer van ESG-apparaten gedetecteerd, wat verband bleek te houden met kwaadaardige activiteiten. Uit de analyse bleek dat de apparaten waren gecompromitteerd met behulp van een niet-gepatchte (0-day) kwetsbaarheid (CVE-2023-28681), waarmee u uw code kunt uitvoeren door een speciaal vervaardigde e-mail te verzenden. Het probleem werd veroorzaakt door een gebrek aan correcte validatie van bestandsnamen in tar-archieven die als e-mailbijlagen werden verzonden, waardoor willekeurige commando's konden worden uitgevoerd op een verhoogd systeem, waarbij escape werd omzeild bij het uitvoeren van code via de Perl "qx"-operator.
De kwetsbaarheid is aanwezig in apart geleverde ESG-apparaten (appliance) met firmwareversies van 5.1.3.001 tot en met 9.2.0.006. De uitbuiting van de kwetsbaarheid is sinds oktober 2022 opgespoord en tot mei 2023 bleef het probleem onopgemerkt. De kwetsbaarheid werd door aanvallers gebruikt om verschillende soorten malware op gateways te installeren - SALTWATER, SEASPY en SEASIDE, die externe toegang tot het apparaat bieden (achterdeur) en worden gebruikt om vertrouwelijke gegevens te onderscheppen.
De SALTWATER-achterdeur is ontworpen als een mod_udp.so-module voor het bsmtpd SMTP-proces en stond het laden en uitvoeren van willekeurige bestanden in het systeem toe, evenals proxy-verzoeken en tunnelverkeer naar een externe server. Om via de achterdeur controle te krijgen, werd onderschepping van de systeemoproepen verzenden, ontvangen en sluiten gebruikt.
De kwaadaardige SEASIDE-component is geschreven in Lua, geïnstalleerd als een mod_require_helo.lua-module voor de SMTP-server en was verantwoordelijk voor het monitoren van binnenkomende HELO/EHLO-opdrachten, het detecteren van verzoeken van de C&C-server en het bepalen van parameters voor het starten van de reverse shell.
SEASPY was een uitvoerbaar bestand van BarracudaMailService dat werd geïnstalleerd als een systeemservice. De service gebruikte een op PCAP gebaseerd filter om het verkeer op 25 (SMTP) en 587 netwerkpoorten te monitoren en activeerde een achterdeur wanneer een pakket met een speciale reeks werd gedetecteerd.
Op 20 mei bracht Barracuda een update uit met een oplossing voor de kwetsbaarheid, die op 21 mei op alle apparaten werd afgeleverd. Op 8 juni werd aangekondigd dat de update niet voldoende was en dat gebruikers gecompromitteerde apparaten fysiek moesten vervangen. Gebruikers worden ook aangemoedigd om alle toegangssleutels en inloggegevens te vervangen die de Barracuda ESG hebben gekruist, zoals die van LDAP/AD en Barracuda Cloud Control. Volgens voorlopige gegevens zijn er ongeveer 11 ESG-apparaten op het netwerk die gebruikmaken van de Barracuda Networks Spam Firewall smtpd-service, die wordt gebruikt in de Email Security Gateway.
Bron: opennet.ru