Barracuda Networks njoftoi nevojën për të zëvendësuar fizikisht pajisjet ESG (Email Security Gateway) të prekura nga malware si rezultat i një cenueshmërie 0-ditore në modulin e trajtimit të bashkëngjitjes së postës elektronike. Raportohet se arnimet e lëshuara më parë nuk janë të mjaftueshme për të bllokuar problemin e instalimit. Detajet nuk jepen, por vendimi për të zëvendësuar harduerin është me sa duket për shkak të një sulmi që instaloi malware në një nivel të ulët dhe nuk mund të hiqej duke ndezur ose rivendosur në fabrikë. Pajisjet do të ndërrohen pa pagesë dhe nuk ka asnjë informacion për kompensimin e kostove të dorëzimit dhe punës së zëvendësimit.
ESG është një paketë harduerike dhe softuerike për mbrojtjen e emailit të ndërmarrjes nga sulmet, spam-et dhe viruset. Më 18 maj u zbulua trafik anormal nga pajisjet ESG, i cili rezultoi të ishte i lidhur me aktivitet keqdashës. Analiza tregoi se pajisjet u komprometuan duke përdorur një cenueshmëri të papatchuar (0-ditore) (CVE-2023-28681), e cila ju lejon të ekzekutoni kodin tuaj duke dërguar një email të krijuar posaçërisht. Problemi u shkaktua nga mungesa e vërtetimit të duhur të emrave të skedarëve brenda arkivave tar të dërguara si bashkëngjitje me email dhe lejoi që komanda arbitrare të ekzekutohej në një sistem të ngritur, duke anashkaluar ikjen gjatë ekzekutimit të kodit nëpërmjet operatorit Perl "qx".
Dobësia është e pranishme në pajisjet ESG të furnizuara veçmas (pajisje) me versione firmware nga 5.1.3.001 deri në 9.2.0.006 përfshirëse. Shfrytëzimi i cenueshmërisë është gjurmuar që nga tetori 2022 dhe deri në maj 2023 problemi mbeti i pavërejtur. Dobësia u përdor nga sulmuesit për të instaluar disa lloje malware në porta - SALTWATER, SEASPY dhe SEASIDE, të cilat ofrojnë akses të jashtëm në pajisje (backdoor) dhe përdoren për të përgjuar të dhëna konfidenciale.
Backdoor SALTWATER u projektua si një modul mod_udp.so për procesin BSmtpd SMTP dhe lejoi ngarkimin dhe ekzekutimin e skedarëve arbitrar në sistem, si dhe proxying kërkesat dhe tunelizimin e trafikut në një server të jashtëm. Për të fituar kontrollin në derën e pasme, u përdor përgjimi i thirrjeve të sistemit të dërgimit, recv dhe mbylljes.
Komponenti keqdashës SEASIDE u shkrua në Lua, u instalua si një modul mod_require_helo.lua për serverin SMTP dhe ishte përgjegjës për monitorimin e komandave hyrëse HELO/EHLO, zbulimin e kërkesave nga serveri C&C dhe përcaktimin e parametrave për nisjen e guaskës së kundërt.
SEASPY ishte një ekzekutues i BarracudaMailService i instaluar si një shërbim sistemi. Shërbimi përdori një filtër të bazuar në PCAP për të monitoruar trafikun në 25 (SMTP) dhe 587 porte rrjeti dhe aktivizoi një derë të pasme kur u zbulua një paketë me një sekuencë të veçantë.
Më 20 maj, Barracuda lëshoi një përditësim me një rregullim për cenueshmërinë, i cili u dorëzua në të gjitha pajisjet më 21 maj. Më 8 qershor, u njoftua se përditësimi nuk ishte i mjaftueshëm dhe përdoruesit duhej të zëvendësonin fizikisht pajisjet e komprometuara. Përdoruesit inkurajohen gjithashtu të zëvendësojnë çdo çelës aksesi dhe kredenciale që kanë kryqëzuar rrugët me Barracuda ESG, si ato të lidhura me LDAP/AD dhe Barracuda Cloud Control. Sipas të dhënave paraprake, ka rreth 11 pajisje ESG në rrjet duke përdorur shërbimin Barracuda Networks Spam Firewall smtpd, i cili përdoret në Email Security Gateway.
Burimi: opennet.ru