A Barracuda Networks anunciou a necessidade de substituir fisicamente os dispositivos ESG (Email Security Gateway) afetados por malware como resultado de uma vulnerabilidade de 0 dias no módulo de manipulação de anexos de e-mail. É relatado que os patches lançados anteriormente não são suficientes para bloquear o problema de instalação. Os detalhes não são fornecidos, mas a decisão de substituir o hardware provavelmente se deve a um ataque que instalou malware em um nível baixo e não pôde ser removido por flash ou redefinição de fábrica. O equipamento será substituído gratuitamente, mas a compensação pelo custo de entrega e trabalho de substituição não é especificada.
ESG é um pacote de hardware e software para proteger o e-mail corporativo contra ataques, spam e vírus. Em 18 de maio, foi detectado tráfego anômalo de dispositivos ESG, que acabou associado a atividades maliciosas. A análise mostrou que os dispositivos foram comprometidos usando uma vulnerabilidade não corrigida (0 dia) (CVE-2023-28681), que permite que você execute seu código enviando um e-mail especialmente criado. O problema foi causado pela falta de validação adequada de nomes de arquivos dentro de arquivos tar enviados como anexos de e-mail e permitiu que comandos arbitrários fossem executados em um sistema elevado, ignorando o escape ao executar o código por meio do operador Perl "qx".
A vulnerabilidade está presente em dispositivos ESG fornecidos separadamente (appliance) com versões de firmware de 5.1.3.001 a 9.2.0.006 inclusive. A exploração da vulnerabilidade foi rastreada desde outubro de 2022 e até maio de 2023 o problema permaneceu despercebido. A vulnerabilidade foi usada por invasores para instalar vários tipos de malware em gateways - SALTWATER, SEASPY e SEASIDE, que fornecem acesso externo ao dispositivo (backdoor) e são usados para interceptar dados confidenciais.
O backdoor SALTWATER foi projetado como um módulo mod_udp.so para o processo SMTP bsmtpd e permitia carregar e executar arquivos arbitrários no sistema, bem como solicitações de proxy e tráfego de túnel para um servidor externo. Para obter controle no backdoor, foi usada a interceptação das chamadas de sistema send, recv e close.
O componente malicioso SEASIDE foi escrito em Lua, instalado como um módulo mod_require_helo.lua para o servidor SMTP e era responsável por monitorar comandos HELO/EHLO recebidos, detectar solicitações do servidor C&C e determinar parâmetros para iniciar o shell reverso.
SEASPY era um executável BarracudaMailService instalado como um serviço do sistema. O serviço usou um filtro baseado em PCAP para monitorar o tráfego nas portas de rede 25 (SMTP) e 587 e ativou um backdoor quando um pacote com uma sequência especial foi detectado.
Em 20 de maio, o Barracuda lançou uma atualização com uma correção para a vulnerabilidade, que foi entregue a todos os dispositivos em 21 de maio. Em 8 de junho, foi anunciado que a atualização não era suficiente e os usuários precisavam substituir fisicamente os dispositivos comprometidos. Os usuários também são incentivados a substituir quaisquer chaves de acesso e credenciais que tenham cruzado com o Barracuda ESG, como aquelas associadas ao LDAP/AD e Barracuda Cloud Control. De acordo com dados preliminares, existem cerca de 11 dispositivos ESG na rede usando o serviço smtpd Barracuda Networks Spam Firewall, que é usado no Email Security Gateway.
Fonte: opennet.ru