由于电子邮件附件处理模块中存在 0 日漏洞,梭子鱼网络宣布需要物理更换受恶意软件影响的 ESG(电子邮件安全网关)设备。 据悉,之前发布的补丁不足以阻止安装问题。 没有给出详细信息,但更换硬件的决定可能是由于在低级别安装了恶意软件并且无法通过闪烁或恢复出厂设置来删除的攻击。 设备将免费更换,但未具体说明对交付和更换工作的费用的补偿。
ESG 是一个硬件和软件包,用于保护企业电子邮件免受攻击、垃圾邮件和病毒的侵害。 18 月 0 日,检测到来自 ESG 设备的异常流量,结果证明这与恶意活动有关。 分析表明,这些设备是使用未修补的(2023 天)漏洞 (CVE-28681-XNUMX) 遭到破坏的,该漏洞允许您通过发送特制电子邮件来执行代码。 问题是由于缺乏对作为电子邮件附件发送的 tar 存档中文件名的正确验证,并允许在提升的系统上执行任意命令,在通过 Perl“qx”运算符执行代码时绕过转义。
该漏洞存在于单独提供的 ESG 设备(设备)中,固件版本从 5.1.3.001 到 9.2.0.006(含)。 自 2022 年 2023 月以来一直追踪到对该漏洞的利用,直到 XNUMX 年 XNUMX 月,该问题仍未引起注意。 攻击者利用该漏洞在网关上安装多种类型的恶意软件——SALTWATER、SEASPY 和 SEASIDE,它们提供对设备的外部访问(后门)并用于拦截机密数据。
SALTWATER 后门被设计为 bsmtpd SMTP 进程的 mod_udp.so 模块,允许在系统中加载和运行任意文件,以及代理请求和将流量隧道传输到外部服务器。 为了在后门中获得控制权,使用了发送、接收和关闭系统调用的拦截。
SEASIDE 恶意组件是用 Lua 编写的,作为 SMTP 服务器的 mod_require_helo.lua 模块安装,负责监控传入的 HELO/EHLO 命令,检测来自 C&C 服务器的请求,并确定启动反向 shell 的参数。
SEASPY 是作为系统服务安装的 BarracudaMailService 可执行文件。 该服务使用基于 PCAP 的过滤器来监控 25 (SMTP) 和 587 网络端口上的流量,并在检测到具有特殊序列的数据包时激活后门。
20 月 21 日,梭子鱼发布了修复该漏洞的更新,并于 8 月 11 日交付给所有设备。 XNUMX 月 XNUMX 日,宣布更新不够,用户需要物理更换受损设备。 还鼓励用户替换任何与 Barracuda ESG 交叉路径的访问密钥和凭证,例如与 LDAP/AD 和 Barracuda Cloud Control 相关的访问密钥和凭证。 根据初步数据,网络上约有XNUMX台ESG设备使用梭子鱼网络垃圾邮件防火墙smtpd服务,该服务用于邮件安全网关。
来源: opennet.ru