Barracuda Networks đã thông báo về nhu cầu thay thế vật lý các thiết bị ESG (Cổng bảo mật email) bị phần mềm độc hại ảnh hưởng do lỗ hổng 0-day trong mô-đun xử lý tệp đính kèm email. Có thông báo rằng các bản vá đã phát hành trước đó không đủ để chặn sự cố cài đặt. Thông tin chi tiết không được cung cấp nhưng quyết định thay thế phần cứng có lẽ là do một cuộc tấn công đã cài đặt phần mềm độc hại ở cấp độ thấp và không thể xóa bằng cách flash hoặc khôi phục cài đặt gốc. Thiết bị sẽ được thay thế miễn phí, nhưng việc bồi thường cho chi phí giao hàng và công việc thay thế không được chỉ định.
ESG là gói phần cứng và phần mềm để bảo vệ email doanh nghiệp khỏi các cuộc tấn công, thư rác và vi rút. Vào ngày 18 tháng 0, lưu lượng truy cập bất thường từ các thiết bị ESG đã được phát hiện, hóa ra có liên quan đến hoạt động độc hại. Phân tích cho thấy các thiết bị đã bị xâm phạm bằng cách sử dụng lỗ hổng (2023 ngày) chưa được vá (CVE-28681-XNUMX), cho phép bạn thực thi mã của mình bằng cách gửi một email được tạo đặc biệt. Sự cố xảy ra do thiếu xác thực hợp lệ tên tệp bên trong kho lưu trữ tar được gửi dưới dạng tệp đính kèm email và cho phép thực thi lệnh tùy ý trên hệ thống nâng cao, bỏ qua thoát khi thực thi mã thông qua toán tử "qx" Perl.
Lỗ hổng bảo mật có trong các thiết bị (thiết bị) ESG được cung cấp riêng với các phiên bản phần sụn từ 5.1.3.001 đến 9.2.0.006. Việc khai thác lỗ hổng đã được theo dõi từ tháng 2022 năm 2023 và cho đến tháng XNUMX năm XNUMX, vấn đề vẫn không được chú ý. Lỗ hổng được kẻ tấn công sử dụng để cài đặt một số loại phần mềm độc hại trên các cổng - SALTWATER, SEASPY và SEASIDE, cung cấp quyền truy cập từ bên ngoài vào thiết bị (cửa sau) và được sử dụng để chặn dữ liệu bí mật.
Cửa hậu SALTWATER được thiết kế dưới dạng mô-đun mod_udp.so cho quy trình SMTP bsmtpd và cho phép tải và chạy các tệp tùy ý trong hệ thống, cũng như ủy quyền các yêu cầu và tạo đường hầm lưu lượng truy cập đến một máy chủ bên ngoài. Để giành quyền kiểm soát trong cửa sau, việc chặn các cuộc gọi hệ thống gửi, recv và đóng đã được sử dụng.
Thành phần độc hại SEASIDE được viết bằng Lua, được cài đặt dưới dạng mô-đun mod_require_helo.lua cho máy chủ SMTP và chịu trách nhiệm giám sát các lệnh HELO/EHLO đến, phát hiện các yêu cầu từ máy chủ C&C và xác định các tham số để khởi chạy trình bao đảo ngược.
SEASPY là một BarracudaMailService có thể thực thi được cài đặt như một dịch vụ hệ thống. Dịch vụ đã sử dụng bộ lọc dựa trên PCAP để giám sát lưu lượng trên 25 (SMTP) và 587 cổng mạng, đồng thời kích hoạt một cửa hậu khi phát hiện thấy một gói có trình tự đặc biệt.
Vào ngày 20 tháng 21, Barracuda đã phát hành bản cập nhật với bản sửa lỗi cho lỗ hổng, bản cập nhật này đã được gửi đến tất cả các thiết bị vào ngày 8 tháng 11. Vào ngày XNUMX tháng XNUMX, có thông báo rằng bản cập nhật là không đủ và người dùng cần thay thế vật lý các thiết bị bị xâm nhập. Người dùng cũng được khuyến khích thay thế bất kỳ khóa truy cập và thông tin xác thực nào đã đi qua đường dẫn với Barracuda ESG, chẳng hạn như những khóa được liên kết với LDAP/AD và Barracuda Cloud Control. Theo dữ liệu sơ bộ, có khoảng XNUMX thiết bị ESG trên mạng sử dụng dịch vụ smtpd Tường lửa thư rác của Barracuda Networks, được sử dụng trong Cổng bảo mật email.
Nguồn: opennet.ru