Barracuda Networks a anunțat necesitatea înlocuirii fizice a dispozitivelor ESG (Email Security Gateway) afectate de malware ca urmare a unei vulnerabilități de 0 zile în modulul de procesare a atașamentelor de e-mail. Este raportat că patch-urile lansate anterior nu sunt suficiente pentru a bloca problema de instalare. Detalii nu sunt furnizate, dar se presupune că decizia de a înlocui echipamentul a fost luată din cauza unui atac care a dus la instalarea de malware la un nivel scăzut și a incapacității de a-l elimina prin înlocuirea firmware-ului sau resetarea lui la starea din fabrică. Echipamentul va fi înlocuit gratuit; compensarea pentru costurile de livrare și înlocuire a forței de muncă nu este specificată.
ESG este un complex hardware și software pentru protejarea e-mailului întreprinderii de atacuri, spam și viruși. Pe 18 mai, a fost înregistrat trafic anormal de pe dispozitivele ESG, care s-a dovedit a fi asociat cu activitate rău intenționată. Analiza a arătat că dispozitivele au fost compromise folosind o vulnerabilitate nepattchată (0-day) (CVE-2023-28681), care vă permite să executați codul prin trimiterea unui e-mail special conceput. Problema a fost cauzată de lipsa validării adecvate a numelor de fișiere din arhivele tar trimise ca atașamente de e-mail și a permis executarea unei comenzi arbitrare pe sistem cu privilegii ridicate, ocolind evadarea la executarea codului prin operatorul Perl „qx”.
Vulnerabilitatea este prezentă în dispozitivele (aparatele) ESG furnizate separat cu versiuni de firmware de la 5.1.3.001 la 9.2.0.006 inclusiv. Faptele de exploatare a vulnerabilității pot fi urmărite încă din octombrie 2022 și până în mai 2023 problema a rămas nedetectată. Vulnerabilitatea a fost folosită de atacatori pentru a instala mai multe tipuri de malware pe gateway-uri - SALTWATER, SEASPY și SEASIDE, care oferă acces extern la dispozitiv (backdoor) și sunt folosite pentru a intercepta date confidențiale.
Backdoor-ul SALTWATER a fost proiectat ca un modul mod_udp.so pentru procesul SMTP bsmtpd și a permis descărcarea și executarea fișierelor arbitrare pe sistem, precum și cererile proxy și traficul tunel către un server extern. Pentru a obține controlul, ușa din spate a folosit interceptarea apelurilor de sistem de trimitere, primire și închidere.
Componenta rău intenționată SEASIDE a fost scrisă în Lua, instalată ca modul mod_require_helo.lua pentru serverul SMTP și era responsabilă de monitorizarea comenzilor HELO/EHLO primite, identificarea solicitărilor de la serverul de comandă și control și determinarea parametrilor pentru lansarea unui shell invers.
SEASPY era un fișier executabil BarracudaMailService instalat ca serviciu de sistem. Serviciul a folosit un filtru bazat pe PCAP pentru a monitoriza traficul pe 25 (SMTP) și 587 porturi de rețea și a activat o ușă secundară atunci când a fost detectat un pachet cu o secvență specială.
Pe 20 mai, Barracuda a lansat o actualizare cu o remediere a vulnerabilității, care a fost livrată pe toate dispozitivele pe 21 mai. Pe 8 iunie, s-a anunțat că actualizarea nu a fost suficientă și utilizatorii vor trebui să înlocuiască fizic dispozitivele compromise. De asemenea, utilizatorii sunt sfătuiți să înlocuiască toate cheile de acces și acreditările care s-au suprapus cu Barracuda ESG, cum ar fi cele asociate cu LDAP/AD și Barracuda Cloud Control. Conform datelor preliminare, în rețea există aproximativ 11 mii de dispozitive ESG care utilizează serviciul Barracuda Networks Spam Firewall smtpd, care este utilizat în Email Security Gateway.
Sursa: opennet.ru