Barracuda Networks elektron pochta ilovasi bilan ishlash modulidagi 0 kunlik zaiflik natijasida zararli dasturlardan ta'sirlangan ESG (Email Security Gateway) qurilmalarini jismoniy almashtirish zarurligini e'lon qildi. Ma’lum qilinishicha, avval chiqarilgan yamalar o‘rnatish muammosini bloklash uchun yetarli emas. Tafsilotlar keltirilmagan, ammo uskunani almashtirish qarori, ehtimol, past darajadagi zararli dasturlarni o'rnatgan va miltillovchi yoki zavod sozlamalarini tiklash orqali olib tashlanishi mumkin bo'lmagan hujum bilan bog'liq. Uskunalar bepul almashtiriladi, ammo etkazib berish va almashtirish ishlari uchun kompensatsiya ko'rsatilmagan.
ESG - korporativ elektron pochtani hujumlar, spam va viruslardan himoya qilish uchun apparat va dasturiy ta'minot to'plami. 18-may kuni ESG qurilmalaridan anomal trafik aniqlandi, bu zararli faoliyat bilan bog‘liq bo‘lib chiqdi. Tahlil shuni ko'rsatdiki, qurilmalar yamalmagan (0 kunlik) zaiflik (CVE-2023-28681) yordamida buzilgan, bu sizga maxsus tayyorlangan elektron pochta xabarini yuborish orqali kodingizni bajarish imkonini beradi. Muammo elektron pochta ilovasi sifatida yuborilgan tar arxivlaridagi fayl nomlarining to'g'ri tekshirilmaganligi va Perl "qx" operatori orqali kodni bajarishda qochishni chetlab o'tib, yuqori tizimda o'zboshimchalik bilan buyruqlarni bajarishga imkon berganligi bilan bog'liq edi.
Zaiflik 5.1.3.001 dan 9.2.0.006 gacha boʻlgan proshivka versiyalari bilan alohida taʼminlangan ESG qurilmalarida (qurilmalarida) mavjud. Zaiflikdan foydalanish 2022 yil oktyabr oyidan boshlab kuzatilgan va 2023 yil mayigacha muammo e'tibordan chetda qoldi. Zaiflikdan tajovuzkorlar shlyuzlarga bir necha turdagi zararli dasturlarni o‘rnatishda foydalanilgan – SALTWATER, SEASPY va SEASIDE, ular qurilmaga tashqi kirishni (backdoor) ta’minlaydi va maxfiy ma’lumotlarni ushlab qolish uchun ishlatiladi.
SALTWATER backdoor bsmtpd SMTP jarayoni uchun mod_udp.so moduli sifatida ishlab chiqilgan va tizimda ixtiyoriy fayllarni yuklash va ishga tushirish, shuningdek proksi-server so‘rovlari va tashqi serverga trafikni tunnel qilish imkonini berdi. Orqa eshikda boshqaruvni qo'lga kiritish uchun yuborish, qabul qilish va tizim qo'ng'iroqlarini yopishdan foydalanilgan.
SEASIDE zararli komponenti Lua tilida yozilgan bo‘lib, SMTP serveri uchun mod_require_helo.lua moduli sifatida o‘rnatilgan va kiruvchi HELO/EHLO buyruqlarini kuzatish, C&C serveridan so‘rovlarni aniqlash va teskari qobiqni ishga tushirish parametrlarini aniqlash uchun javobgar edi.
SEASPY tizim xizmati sifatida o'rnatilgan BarracudaMailService bajariladigan dastur edi. Xizmat 25 (SMTP) va 587 tarmoq portlarida trafikni kuzatish uchun PCAP asosidagi filtrdan foydalangan va maxsus ketma-ketlikka ega paket aniqlanganda orqa eshikni faollashtirgan.
20-may kuni Barracuda zaiflikni tuzatish bilan yangilanishni chiqardi, u 21-may kuni barcha qurilmalarga yetkazildi. 8 iyun kuni yangilanish yetarli emasligi va foydalanuvchilar buzilgan qurilmalarni jismonan almashtirishlari kerakligi e'lon qilindi. Foydalanuvchilar, shuningdek, Barracuda ESG bilan kesishgan har qanday kirish kalitlari va hisobga olish ma'lumotlarini, masalan, LDAP/AD va Barracuda Cloud Control bilan bog'liq bo'lganlarni almashtirishlari tavsiya etiladi. Dastlabki ma’lumotlarga ko‘ra, tarmoqda Email Security Gateway’da qo‘llaniladigan Barracuda Networks Spam Firewall smtpd xizmatidan foydalangan holda 11 XNUMX ga yaqin ESG qurilmalari mavjud.
Manba: opennet.ru