Barracuda Networks نے ای میل اٹیچمنٹ ہینڈلنگ ماڈیول میں 0 دن کی کمزوری کے نتیجے میں میلویئر سے متاثرہ ESG (Email Security Gateway) آلات کو جسمانی طور پر تبدیل کرنے کی ضرورت کا اعلان کیا۔ یہ اطلاع دی جاتی ہے کہ پہلے جاری کردہ پیچ انسٹالیشن کے مسئلے کو روکنے کے لیے کافی نہیں ہیں۔ تفصیلات نہیں دی گئی ہیں، لیکن ہارڈ ویئر کو تبدیل کرنے کا فیصلہ ممکنہ طور پر ایک حملے کی وجہ سے ہے جس نے میلویئر کو کم سطح پر انسٹال کیا ہے اور اسے فلیشنگ یا فیکٹری ری سیٹنگ کے ذریعے ہٹایا نہیں جا سکا۔ سامان مفت تبدیل کیا جائے گا، لیکن ترسیل اور متبادل کام کی لاگت کا معاوضہ بیان نہیں کیا گیا ہے۔
ESG ایک ہارڈ ویئر اور سافٹ ویئر پیکج ہے جو انٹرپرائز ای میل کو حملوں، اسپام اور وائرس سے محفوظ رکھتا ہے۔ 18 مئی کو، ESG آلات سے غیر معمولی ٹریفک کا پتہ چلا، جو بدنیتی پر مبنی سرگرمی سے منسلک نکلا۔ تجزیے سے پتہ چلتا ہے کہ آلات کو بغیر پیچ کے (0-دن) کے خطرے (CVE-2023-28681) کا استعمال کرتے ہوئے سمجھوتہ کیا گیا تھا، جو آپ کو خاص طور پر تیار کردہ ای میل بھیج کر اپنے کوڈ پر عمل کرنے کی اجازت دیتا ہے۔ ای میل منسلکات کے طور پر بھیجے گئے ٹار آرکائیوز کے اندر فائل ناموں کی درست توثیق نہ ہونے کی وجہ سے مسئلہ پیدا ہوا، اور پرل "qx" آپریٹر کے ذریعے کوڈ پر عمل کرتے وقت فرار ہونے کو نظرانداز کرتے ہوئے، ایلیویٹڈ سسٹم پر صوابدیدی کمانڈ پر عمل درآمد کی اجازت دی گئی۔
کمزوری الگ سے فراہم کردہ ESG ڈیوائسز (آلات) میں موجود ہے جس میں فرم ویئر ورژن 5.1.3.001 سے 9.2.0.006 تک شامل ہیں۔ کمزوری کے استحصال کا سراغ اکتوبر 2022 سے لگایا گیا ہے اور مئی 2023 تک یہ مسئلہ کسی کا دھیان نہیں رہا۔ خطرے کا استعمال حملہ آوروں نے گیٹ ویز پر کئی قسم کے میلویئر کو انسٹال کرنے کے لیے کیا تھا - سالٹ واٹر، SEASPY اور SEASIDE، جو ڈیوائس (بیک ڈور) تک بیرونی رسائی فراہم کرتے ہیں اور خفیہ ڈیٹا کو روکنے کے لیے استعمال ہوتے ہیں۔
سالٹ واٹر بیک ڈور کو mod_udp.so ماڈیول کے طور پر bsmtpd SMTP عمل کے لیے ڈیزائن کیا گیا تھا اور اس نے سسٹم میں صوابدیدی فائلوں کو لوڈ کرنے اور چلانے کے ساتھ ساتھ درخواستوں کو پراکسی کرنے اور ٹریفک کو بیرونی سرور تک ٹنلنگ کرنے کی اجازت دی تھی۔ بیک ڈور میں کنٹرول حاصل کرنے کے لیے، بھیجنے، recv اور کلوز سسٹم کالز کا استعمال کیا گیا۔
SEASIDE نقصان دہ جزو Lua میں لکھا گیا تھا، SMTP سرور کے لیے mod_require_helo.lua ماڈیول کے طور پر انسٹال کیا گیا تھا، اور آنے والی HELO/EHLO کمانڈز کی نگرانی، C&C سرور سے درخواستوں کا پتہ لگانے، اور ریورس شیل شروع کرنے کے لیے پیرامیٹرز کا تعین کرنے کا ذمہ دار تھا۔
SEASPY ایک BarracudaMailService تھی جسے سسٹم سروس کے طور پر انسٹال کیا جا سکتا ہے۔ سروس نے 25 (SMTP) اور 587 نیٹ ورک پورٹس پر ٹریفک کی نگرانی کے لیے PCAP پر مبنی فلٹر کا استعمال کیا اور ایک خاص ترتیب والے پیکٹ کا پتہ چلنے پر بیک ڈور کو چالو کیا۔
20 مئی کو، Barracuda نے خطرے کے حل کے ساتھ ایک اپ ڈیٹ جاری کیا، جو 21 مئی کو تمام آلات پر پہنچا دیا گیا۔ 8 جون کو، یہ اعلان کیا گیا کہ اپ ڈیٹ کافی نہیں ہے اور صارفین کو سمجھوتہ کرنے والے آلات کو جسمانی طور پر تبدیل کرنے کی ضرورت ہے۔ صارفین کو کسی بھی رسائی کی چابیاں اور اسناد کو تبدیل کرنے کی بھی ترغیب دی جاتی ہے جنہوں نے Barracuda ESG کے ساتھ راستے عبور کیے ہیں، جیسے کہ LDAP/AD اور Barracuda Cloud Control سے وابستہ ہیں۔ ابتدائی اعداد و شمار کے مطابق، نیٹ ورک پر تقریباً 11 ESG ڈیوائسز ہیں جو Barracuda Networks Spam Firewall smtpd سروس استعمال کرتی ہیں، جو ای میل سیکیورٹی گیٹ وے میں استعمال ہوتی ہے۔
ماخذ: opennet.ru