Kritična ranjivost zakrpana prije 10 dana u široko korištenom softveru za e-poštu tvrtke za IT sigurnost Barracuda Networks aktivno se iskorištava od listopada. Ranjivost je korištena za instaliranje više komada zlonamjernog softvera unutar velikih organizacijskih mreža i krađu podataka, rekla je Barracuda u utorak.
Softverska pogreška, praćena kao CVE-2023-2868, ranjivost je ubrizgavanja daljinske naredbe koja proizlazi iz nepotpuna provjera valjanosti unosa korisničkih .tar datoteka, koje se koriste za pakiranje ili arhiviranje više datoteke. Kada su nazivi datoteka formatirani na određeni način, napadač može izvršavati sistemske naredbe preko QX operatora, funkcije u programskom jeziku Perl koja rukuje navodnicima. Ranjivost je prisutna u Barracuda Email Security Gatewayu verzijama od 5.1.3.001 do 9.2.0.006; Barakuda izdao zakrpu prije 10 dana.
U utorak Barakuda obaviješteni kupci da je CVE-2023-2868 aktivno iskorištavan od listopada u napadima koji su omogućili prijetnju aktere za instaliranje više komada zlonamjernog softvera za korištenje u izvlačenju osjetljivih podataka iz zaraženih mreže.
"Korisnici za čije uređaje vjerujemo da su bili pogođeni obaviješteni su putem ESG korisničkog sučelja o radnjama koje treba poduzeti", stoji u obavijesti od utorka. “Barracuda je također doprla do ovih specifičnih kupaca. Tijekom istrage mogu se identificirati dodatni kupci.”
Zlonamjerni softver koji je do danas identificiran uključuje pakete praćene kao Saltwater, Seaside i Seaspy. Saltwater je zlonamjerni modul za SMTP demon (bsmtpd) koji koristi Barracuda ESG. Modul sadrži backdoor funkcionalnost koja uključuje mogućnost učitavanja ili preuzimanja proizvoljnih datoteka, izvršavanje naredbi i pružanje mogućnosti proxyja i tuneliranja.
Seaside je x64 izvršna datoteka u ELF-u (izvršni i povezivi format), koja pohranjuje binarne datoteke, biblioteke i jezgrene datoteke na diskove u sustavima temeljenim na Linuxu i Unixu. Omogućuje upornost stražnjih vrata koja se predstavlja kao legitimna usluga Barracuda Networks i uspostavlja sama kao PCAP filtar za hvatanje paketa podataka koji teku kroz mrežu i obavljanje raznih operacije. Seaside prati praćenje na portu 25, koji se koristi za e-poštu temeljenu na SMTP-u.
Može se aktivirati pomoću "čarobnog paketa" koji je poznat samo napadaču, ali se svima ostalima čini bezopasnim. Mandiant, sigurnosna tvrtka Barracuda angažirana da istraži napade, rekla je da je pronašla kod u Seaspyju koji se preklapa s javno dostupnim backdoorom cd00r.
Seaside je, u međuvremenu, modul za Barracuda SMTP demon (bsmtpd) koji nadzire naredbe, uključujući SMTP HELO/EHLO za primanje naredbeno-kontrolne IP adrese i porta za uspostavljanje obrnutog ljuska.
Obavijest od utorka uključuje kriptografske hashove, IP adrese, lokacije datoteka i druge pokazatelje kompromitacije povezane s iskorištavanjem CVE-2023-2868 i instalacijom zlonamjernog softvera. Dužnosnici tvrtke također su pozvali sve pogođene kupce da poduzmu sljedeće radnje:
- Osigurajte da vaš ESG uređaj prima i primjenjuje ažuriranja, definicije i sigurnosne zakrpe od Barracude. Kontaktirajte podršku za Barracuda ([email protected]) za provjeru je li uređaj ažuriran.
- Prekinite korištenje kompromitiranog ESG uređaja i kontaktirajte podršku Barracuda ([email protected]) za nabavu novog ESG virtualnog ili hardverskog uređaja.
- Rotirajte sve primjenjive vjerodajnice povezane s ESG uređajem:
o Bilo koji povezani LDAP/AD
o Barracuda Cloud Control
o FTP poslužitelj
o SMB
o Bilo koji privatni TLS certifikat- Pregledajte svoje mrežne zapisnike za [indikatore ugroženosti] i sve nepoznate IP adrese. Kontakt [email protected] ako su identificirani.
Agencija za kibernetičku sigurnost i sigurnost infrastrukture dodao CVE-2023-2868 na svoj popis poznatih iskorištenih ranjivosti u petak.
