Barracuda Networks ogłosiła konieczność fizycznej wymiany urządzeń ESG (Email Security Gateway) dotkniętych złośliwym oprogramowaniem w wyniku luki 0-day w module obsługi załączników do wiadomości e-mail. Poinformowano, że wcześniej wydane łatki nie wystarczą, aby zablokować problem z instalacją. Nie podano szczegółów, ale decyzja o wymianie sprzętu jest prawdopodobnie spowodowana atakiem, który zainstalował złośliwe oprogramowanie na niskim poziomie i nie można go było usunąć przez flashowanie lub przywrócenie ustawień fabrycznych. Sprzęt zostanie wymieniony bezpłatnie, ale zwrot kosztów dostawy i prac zastępczych nie jest określony.
ESG to pakiet sprzętu i oprogramowania do ochrony firmowej poczty e-mail przed atakami, spamem i wirusami. 18 maja wykryto nietypowy ruch z urządzeń ESG, który okazał się powiązany ze złośliwą aktywnością. Analiza wykazała, że zabezpieczenia urządzeń zostały naruszone przy użyciu niezałatanej (0-dniowej) luki w zabezpieczeniach (CVE-2023-28681), która umożliwia wykonanie kodu poprzez wysłanie specjalnie spreparowanej wiadomości e-mail. Problem był spowodowany brakiem odpowiedniej walidacji nazw plików w archiwach tar wysyłanych jako załączniki do wiadomości e-mail i umożliwiał wykonanie dowolnego polecenia w systemie z podwyższonym poziomem uprawnień, z pominięciem ucieczki podczas wykonywania kodu za pomocą operatora „qx” Perla.
Luka występuje w oddzielnie dostarczanych urządzeniach ESG (urządzeniach) z wersjami oprogramowania układowego od 5.1.3.001 do 9.2.0.006 włącznie. Eksploatacja luki była śledzona od października 2022 roku i do maja 2023 roku problem pozostawał niezauważony. Luka została wykorzystana przez atakujących do zainstalowania kilku rodzajów złośliwego oprogramowania na bramkach - SALTWATER, SEASPY i SEASIDE, które zapewniają zewnętrzny dostęp do urządzenia (backdoor) i służą do przechwytywania poufnych danych.
Backdoor SALTWATER został zaprojektowany jako moduł mod_udp.so dla procesu bsmtpd SMTP i umożliwiał ładowanie i uruchamianie dowolnych plików w systemie, a także pośredniczenie w żądaniach i tunelowanie ruchu do zewnętrznego serwera. Aby przejąć kontrolę nad backdoorem, wykorzystano przechwytywanie wywołań systemowych send, recv i close.
Szkodliwy komponent SEASIDE został napisany w języku Lua, zainstalowany jako moduł mod_require_helo.lua dla serwera SMTP i odpowiadał za monitorowanie przychodzących poleceń HELO/EHLO, wykrywanie żądań z serwera C&C oraz określanie parametrów uruchamiania odwrotnej powłoki.
SEASPY był plikiem wykonywalnym BarracudaMailService instalowanym jako usługa systemowa. Usługa wykorzystywała filtr oparty na PCAP do monitorowania ruchu na portach sieciowych 25 (SMTP) i 587 oraz aktywowała backdoora po wykryciu pakietu o specjalnej sekwencji.
20 maja firma Barracuda wydała aktualizację z poprawką dotyczącą luki, która została dostarczona na wszystkie urządzenia 21 maja. 8 czerwca ogłoszono, że aktualizacja nie wystarczy, a użytkownicy muszą fizycznie wymienić zainfekowane urządzenia. Użytkowników zachęca się również do zastąpienia wszelkich kluczy dostępu i poświadczeń, które zetknęły się z Barracuda ESG, na przykład związanych z LDAP/AD i Barracuda Cloud Control. Według wstępnych danych w sieci znajduje się około 11 XNUMX urządzeń ESG korzystających z usługi Barracuda Networks Spam Firewall smtpd, która jest wykorzystywana w Email Security Gateway.
Źródło: opennet.ru