Barracuda Networks je objavila potrebo po fizični zamenjavi naprav ESG (Email Security Gateway), ki jih je prizadela zlonamerna programska oprema zaradi 0-dnevne ranljivosti v modulu za obdelavo e-poštnih prilog. Poroča se, da predhodno izdani popravki ne zadoščajo za blokiranje težave pri namestitvi. Podrobnosti niso navedene, vendar je odločitev za zamenjavo strojne opreme domnevno posledica napada, ki je namestil zlonamerno programsko opremo na nizki ravni in je ni bilo mogoče odstraniti z utripanjem ali ponastavitvijo na tovarniške nastavitve. Oprema bo zamenjana brezplačno, nadomestilo za stroške dostave in nadomestnih del pa ni določeno.
ESG je paket strojne in programske opreme za zaščito poslovne e-pošte pred napadi, vsiljeno pošto in virusi. 18. maja je bil zaznan nenormalen promet iz naprav ESG, za katerega se je izkazalo, da je povezan z zlonamerno dejavnostjo. Analiza je pokazala, da so bile naprave ogrožene z nepopravljeno (0-dnevno) ranljivostjo (CVE-2023-28681), ki vam omogoča izvajanje kode s pošiljanjem posebej oblikovanega e-poštnega sporočila. Težavo je povzročilo pomanjkanje ustreznega preverjanja veljavnosti imen datotek v arhivih tar, poslanih kot e-poštne priloge, in je omogočilo izvajanje poljubnega ukaza v povišanem sistemu, pri čemer se je izognilo uhajanju pri izvajanju kode prek operaterja Perl "qx".
Ranljivost je prisotna v ločeno dobavljenih ESG napravah (napravah) z različicami vdelane programske opreme od 5.1.3.001 do vključno 9.2.0.006. Izkoriščanje ranljivosti je bilo zaslediti od oktobra 2022 in do maja 2023 je problem ostal neopažen. Ranljivost so napadalci uporabili za namestitev več vrst zlonamerne programske opreme na prehode - SALTWATER, SEASPY in SEASIDE, ki omogočajo zunanji dostop do naprave (backdoor) in se uporabljajo za prestrezanje zaupnih podatkov.
Zadnja vrata SALTWATER so bila zasnovana kot modul mod_udp.so za proces SMTP bsmtpd in je omogočala nalaganje in izvajanje poljubnih datotek v sistemu, kot tudi proxy zahteve in tuneliranje prometa na zunanji strežnik. Za pridobitev nadzora v backdoorju je bilo uporabljeno prestrezanje sistemskih klicev send, recv in close.
Zlonamerna komponenta SEASIDE je bila napisana v jeziku Lua, nameščena kot modul mod_require_helo.lua za strežnik SMTP in je spremljala dohodne ukaze HELO/EHLO, zaznavala zahteve iz ukaznega in nadzornega strežnika ter določala parametre za zagon obratne lupine.
SEASPY je bila izvršljiva datoteka BarracudaMailService, nameščena kot sistemska storitev. Storitev je uporabila filter na osnovi PCAP za spremljanje prometa na 25 (SMTP) in 587 omrežnih vratih in aktivirala stranska vrata, ko je bil zaznan paket s posebnim zaporedjem.
Barracuda je 20. maja izdala posodobitev s popravkom za ranljivost, ki je bila 21. maja dostavljena vsem napravam. 8. junija je bilo objavljeno, da posodobitev ni zadostna in da morajo uporabniki fizično zamenjati ogrožene naprave. Uporabnike tudi spodbujamo, da zamenjajo vse ključe za dostop in poverilnice, ki so se križale z Barracuda ESG, na primer tiste, povezane z LDAP/AD in Barracuda Cloud Control. Po predhodnih podatkih je v omrežju približno 11 naprav ESG, ki uporabljajo storitev Barracuda Networks Spam Firewall smtpd, ki se uporablja v e-poštnem varnostnem prehodu.
Vir: opennet.ru