Barracuda предупреждает клиентов о необходимости немедленно заменить устройства Email Security Gateway (ESG), затронутые уязвимостью CVE-2023-2868.
В конце мая поставщик решений для сетевой безопасности Barracuda предупредил клиентов о том, что некоторые из его устройств Email Security Gateway (ESG) недавно были взломаны злоумышленниками, использующими исправленную уязвимость нулевого дня.
Уязвимость, отслеживаемая как CVE-2023-2868, находится в модуле проверки вложений электронной почты. Проблема была обнаружена 19 мая, и компания устранила ее, выпустив два исправления безопасности 20 и 21 мая.
Проблема может иметь серьезные последствия, поскольку затронутые устройства Email Security Gateway (ESG) используются сотнями тысяч организаций по всему миру, в том числе несколькими крупными компаниями.
Уязвимость не влияет на другие продукты Barracuda, компания заявляет, что ее службы безопасности электронной почты SaaS не затронуты этой проблемой.
Компания исследовала уязвимость и обнаружила, что она использовалась для атаки на подмножество шлюзов электронной почты. Компания уведомила через пользовательский интерфейс ESG клиентов, устройства которых, по их мнению, были затронуты.
30 мая 2023 г. поставщик представил предварительную сводку основных выводов, связанных с его расследованием, включающую график событий, индикаторы компрометации (IOC) и рекомендуемые действия для затронутых клиентов.
Согласно заявлению поставщика, уязвимость использовалась в реальных сценариях, причем инциденты датировались как минимум октябрём 2022 года.
«Самое раннее обнаруженное свидетельство эксплуатации CVE-2023-2868 в настоящее время относится к октябрю 2022 года». читает обновление, предоставленное компанией.
Злоумышленники использовали уязвимость CVE-2023-2868 для получения несанкционированного доступа к подмножеству устройств ESG. Barracuda при поддержке Mandiant обнаружила, что проблема использовалась для развертывания вредоносного ПО на подмножестве устройств, обеспечивающих постоянный доступ через бэкдор.
Компания подтвердила, что CVE-2023-2868 впервые была использована в октябре 2022 года.
Семейства вредоносных программ, используемых в атаках:
- SALTWATER — вредоносный модуль для демона SMTP Barracuda (bsmtpd), который поддерживает несколько возможностей, таких как загрузка/загрузка произвольных файлов, выполнение команд, а также проксирование и туннелирование вредоносного трафика, чтобы избежать обнаружения. Компонент бэкдора создается путем использования перехватчиков системных вызовов send, recv и close, состоящих в общей сложности из пяти отдельных компонентов, называемых «Каналами» в двоичном файле.
- SEASPY — постоянный бэкдор x64 ELF маскируется под законную службу Barracuda Networks и выдает себя за фильтр PCAP, специально отслеживая трафик на порту 25 (SMTP). SEASPY также поддерживает функцию бэкдора, которая активируется «магическим пакетом».
- SEASIDE — это модуль, написанный на Lua для bsmtpd, он устанавливает обратную оболочку через SMTP-команды HELO/EHLO, отправляемые через C2-сервер зловреда.
- Теперь компания призывает клиентов немедленно заменить устройства ESG, независимо от уровня версии исправления.
«Пострадавшие устройства ESG должны быть немедленно заменены независимо от уровня версии исправления. Если вы не заменили свое устройство после получения уведомления в пользовательском интерфейсе, обратитесь в службу поддержки сейчас ([email protected])». призывает компанию. «Рекомендация Barracuda по исправлению в настоящее время заключается в полной замене затронутого ESG».
