Barracuda Networks ประกาศถึงความจำเป็นในการเปลี่ยนอุปกรณ์ ESG (Email Security Gateway) ที่ได้รับผลกระทบจากมัลแวร์อันเป็นผลจากช่องโหว่ 0 วันในโมดูลประมวลผลไฟล์แนบอีเมล มีรายงานว่าแพตช์ที่ออกมาก่อนหน้านี้ไม่เพียงพอที่จะบล็อกปัญหาการติดตั้ง ไม่ได้ให้รายละเอียด แต่สันนิษฐานได้ว่าการตัดสินใจเปลี่ยนอุปกรณ์นั้นเกิดขึ้นเนื่องจากการโจมตีที่นำไปสู่การติดตั้งมัลแวร์ในระดับต่ำ และไม่สามารถลบออกได้โดยการเปลี่ยนเฟิร์มแวร์หรือรีเซ็ตเป็นสถานะโรงงาน อุปกรณ์จะถูกเปลี่ยนให้ฟรี โดยไม่ได้ระบุค่าชดเชยสำหรับการจัดส่งและค่าแรงในการเปลี่ยน
ESG เป็นฮาร์ดแวร์และซอฟต์แวร์ที่ซับซ้อนสำหรับการปกป้องอีเมลองค์กรจากการโจมตี สแปม และไวรัส เมื่อวันที่ 18 พฤษภาคม มีการบันทึกการรับส่งข้อมูลที่ผิดปกติจากอุปกรณ์ ESG ซึ่งปรากฏว่าเกี่ยวข้องกับกิจกรรมที่เป็นอันตราย การวิเคราะห์แสดงให้เห็นว่าอุปกรณ์ถูกโจมตีโดยใช้ช่องโหว่ที่ยังไม่ได้แพตช์ (0 วัน) (CVE-2023-28681) ซึ่งช่วยให้คุณสามารถรันโค้ดของคุณโดยการส่งอีเมลที่ออกแบบมาเป็นพิเศษ ปัญหานี้เกิดจากการขาดการตรวจสอบความถูกต้องของชื่อไฟล์ภายในไฟล์เก็บถาวร tar ที่ส่งเป็นไฟล์แนบในอีเมล และอนุญาตให้เรียกใช้คำสั่งที่กำหนดเองบนระบบด้วยสิทธิ์ระดับสูง โดยเลี่ยงการ Escape เมื่อเรียกใช้โค้ดผ่านตัวดำเนินการ Perl "qx"
ช่องโหว่นี้มีอยู่ในอุปกรณ์ ESG (เครื่องใช้ไฟฟ้า) ที่ให้มาแยกต่างหากซึ่งมีเฟิร์มแวร์เวอร์ชันตั้งแต่ 5.1.3.001 ถึง 9.2.0.006 รวมอยู่ด้วย ข้อเท็จจริงของการแสวงหาผลประโยชน์จากช่องโหว่ดังกล่าวสามารถสืบย้อนกลับไปได้ถึงเดือนตุลาคม 2022 และจนถึงเดือนพฤษภาคม 2023 ปัญหายังคงตรวจไม่พบ ผู้โจมตีใช้ช่องโหว่นี้เพื่อติดตั้งมัลแวร์หลายประเภทบนเกตเวย์ ได้แก่ SALTWATER, SEASPY และ SEASIDE ซึ่งให้การเข้าถึงอุปกรณ์จากภายนอก (ประตูหลัง) และใช้เพื่อสกัดกั้นข้อมูลที่เป็นความลับ
ประตูหลัง SALTWATER ได้รับการออกแบบให้เป็นโมดูล mod_udp.so สำหรับกระบวนการ bsmtpd SMTP และอนุญาตให้ดาวน์โหลดและดำเนินการไฟล์ตามอำเภอใจบนระบบ เช่นเดียวกับคำขอพร็อกซีและการรับส่งข้อมูลช่องสัญญาณไปยังเซิร์ฟเวอร์ภายนอก เพื่อให้ได้รับการควบคุม ประตูหลังใช้การสกัดกั้นการส่ง รับ และปิดการเรียกของระบบ
ส่วนประกอบที่เป็นอันตราย SEASIDE เขียนด้วยภาษา Lua ซึ่งติดตั้งเป็นโมดูล mod_require_helo.lua สำหรับเซิร์ฟเวอร์ SMTP และรับผิดชอบในการตรวจสอบคำสั่ง HELO/EHLO ขาเข้า ระบุคำขอจากเซิร์ฟเวอร์คำสั่งและควบคุม และกำหนดพารามิเตอร์สำหรับการเรียกใช้ Reverse Shell
SEASPY เป็นไฟล์ปฏิบัติการ BarracudaMailService ที่ติดตั้งเป็นบริการระบบ บริการนี้ใช้ตัวกรองที่ใช้ PCAP เพื่อตรวจสอบการรับส่งข้อมูลบนพอร์ตเครือข่าย 25 (SMTP) และ 587 และเปิดใช้งานแบ็คดอร์เมื่อตรวจพบแพ็กเก็ตที่มีลำดับพิเศษ
เมื่อวันที่ 20 พฤษภาคม Barracuda ได้เปิดตัวการอัปเดตพร้อมการแก้ไขช่องโหว่ ซึ่งได้ถูกส่งไปยังอุปกรณ์ทั้งหมดในวันที่ 21 พฤษภาคม เมื่อวันที่ 8 มิถุนายน มีการประกาศว่าการอัปเดตยังไม่เพียงพอ และผู้ใช้จะต้องเปลี่ยนอุปกรณ์ที่ถูกบุกรุกด้วยตนเอง นอกจากนี้ ผู้ใช้ควรเปลี่ยนคีย์การเข้าถึงและข้อมูลประจำตัวที่ทับซ้อนกับ Barracuda ESG เช่น ที่เกี่ยวข้องกับ LDAP/AD และ Barracuda Cloud Control จากข้อมูลเบื้องต้น มีอุปกรณ์ ESG ประมาณ 11 เครื่องบนเครือข่ายที่ใช้บริการ smtpd Barracuda Networks Spam Firewall ซึ่งใช้ใน Email Security Gateway
ที่มา: opennet.ru