Barracuda Networks ilitangaza hitaji la kubadilisha vifaa vya ESG (Email Security Gateway) vilivyoathiriwa na programu hasidi kwa sababu ya athari ya siku 0 katika moduli ya kuchakata viambatisho vya barua pepe. Inaripotiwa kuwa patches zilizotolewa hapo awali hazitoshi kuzuia tatizo la ufungaji. Maelezo hayajatolewa, lakini labda uamuzi wa kuchukua nafasi ya vifaa ulifanywa kwa sababu ya shambulio ambalo lilisababisha usakinishaji wa programu hasidi kwa kiwango cha chini, na kutokuwa na uwezo wa kuiondoa kwa kuchukua nafasi ya firmware au kuiweka upya kwa hali ya kiwanda. Vifaa vitabadilishwa bila malipo; fidia ya utoaji na uingizwaji wa gharama za kazi haijabainishwa.
ESG ni mfumo wa maunzi na programu kwa ajili ya kulinda barua pepe za biashara dhidi ya mashambulizi, barua taka na virusi. Mnamo Mei 18, trafiki isiyo ya kawaida ilirekodiwa kutoka kwa vifaa vya ESG, ambavyo vilihusishwa na shughuli hasidi. Uchanganuzi ulionyesha kuwa vifaa viliathiriwa kwa kutumia uwezekano wa kuathirika (CVE-0-2023) ambao haujababishwi (CVE-28681-XNUMX), unaokuruhusu kutekeleza msimbo wako kwa kutuma barua pepe iliyoundwa mahususi. Suala hilo lilisababishwa na ukosefu wa uthibitishaji ufaao wa majina ya faili ndani ya kumbukumbu za tar zilizotumwa kama viambatisho vya barua pepe, na kuruhusu amri ya kiholela kutekelezwa kwenye mfumo na haki za juu, kukwepa kutoroka wakati wa kutekeleza nambari kupitia opereta wa Perl "qx".
Athari hii inapatikana katika vifaa vya ESG (vifaa) vilivyotolewa kando vilivyo na matoleo ya programu dhibiti kutoka 5.1.3.001 hadi 9.2.0.006 zikiwa zimejumuishwa. Ukweli kuhusu utumiaji wa athari hizi unaweza kufuatiliwa hadi Oktoba 2022 na hadi Mei 2023 tatizo lilikuwa halijatambuliwa. Athari hii ilitumiwa na wavamizi kusakinisha aina kadhaa za programu hasidi kwenye lango - SALTWATER, SEASPY na SEASIDE, ambazo hutoa ufikiaji wa nje wa kifaa (backdoor) na hutumiwa kunasa data ya siri.
Mlango wa nyuma wa SALTWATER uliundwa kama moduli ya mod_udp.so kwa mchakato wa bsmtpd SMTP na kuruhusu faili kiholela kupakuliwa na kutekelezwa kwenye mfumo, na pia kutuma maombi ya seva mbadala na trafiki ya handaki hadi kwa seva ya nje. Ili kupata udhibiti, mlango wa nyuma ulitumia uingiliaji wa simu za mfumo kutuma, recv na kufunga.
Kipengele hasidi cha SEASIDE kiliandikwa kwa lugha ya Lua, kilisakinishwa kama moduli mod_require_helo.lua kwa seva ya SMTP na kilikuwa na jukumu la kufuatilia amri zinazoingia za HELO/EHLO, kutambua maombi kutoka kwa seva ya amri na udhibiti, na kubainisha vigezo vya kuzindua ganda la nyuma.
SEASPY ilikuwa faili ya BarracudaMailService inayoweza kutekelezeka iliyosakinishwa kama huduma ya mfumo. Huduma ilitumia kichujio chenye msingi wa PCAP kufuatilia trafiki kwenye bandari za mtandao 25 ββ(SMTP) na 587 na kuwezesha mlango wa nyuma wakati pakiti yenye mlolongo maalum iligunduliwa.
Mnamo Mei 20, Barracuda ilitoa sasisho na marekebisho ya athari, ambayo iliwasilishwa kwa vifaa vyote mnamo Mei 21. Mnamo Juni 8, ilitangazwa kuwa sasisho haitoshi na watumiaji wangehitaji kubadilisha vifaa vilivyoathiriwa. Watumiaji pia wanashauriwa kubadilisha funguo na vitambulisho vyovyote vya ufikiaji ambavyo vimeingiliana na Barracuda ESG, kama vile vinavyohusishwa na LDAP/AD na Udhibiti wa Wingu wa Barracuda. Kulingana na data ya awali, kuna takriban vifaa elfu 11 vya ESG kwenye mtandao kwa kutumia huduma ya Barracuda Networks Spam Firewall smtpd, ambayo hutumiwa katika Lango la Usalama la Barua pepe.
Chanzo: opennet.ru