Barracuda, специализирующаяся на безопасности сетей и электронной почты, сообщает, что недавно исправленная 0-day использовалась в течение семи месяцев для доставки вредоносного ПО на устройства Email Security Gateway (ESG) клиентов и кражи данных.
Инициированное расследование совместно с привлеченными для этого специалистами Mandiant привело к CVE-2023-2868, которая была впервые проэксплуатирована в октябре 2022 года для получения доступа к устройствам ESG и развертывания бэкдоров, обеспечивающих злоумышленникам постоянный доступ к скомпрометированным системам.
Уязвимость влияет только на устройства Email Security Gateway с версиями 5.1.3.001–9.2.0.006 и связана с проблемой внедрения удаленных команд, обусловленной неполной проверкой входных данных для предоставленных пользователем файлов .tar.
Удаленный злоумышленник может отформатировать имена файлов определенным образом, что приведет к удаленному выполнению системной команды через оператор Perl qx с привилегиями продукта Email Security Gateway.
Barracuda узнала об атаках 18 мая и на следующий день подтвердила наличие новой уязвимости.
Патч на устройства ESG был выпущен 20 мая, а через день поставщик выпустил дополнительный скрипт для локализации потенциального несанкционированного доступа.
Кроме того, Barracuda предоставила дополнительную информацию об атаке и действиях, предпринятых злоумышленниками.
На скомпрометированных устройствах были обнаружены три типа вредоносных ПО. Один из них, SaltWater, был описан как троянизированный модуль для демона SMTP Barracuda, который позволяет загружать или скачивать файлы, выполнять команды и использовать его в качестве прокси.
Другая вредоносная ПО SeaSpy - это бэкдор, выдающий себя за один из сервисов Barracuda.
Он отслеживает трафик и обеспечивает функциональность бэкдора. Mandiant обнаружил некоторое совпадение кода с общедоступным бэкдором cd00r.
Третье вредоносное ПО называется Seaside и описывается как модуль на основе Lua, который также нацелен на демона SMTP Barracuda. Он получает IP-адрес и порт управления и контроля (C2), которые передаются внешнему двоичному файлу, который устанавливает обратную оболочку.
Barracuda представила индикаторы компрометации (IoC) как для конечных точек, так и для сетей, а также правила Yara, которые можно использовать для поиска угроз.
Клиентам рекомендовано убедиться, что их устройства обновлены, и прекратить использование скомпрометированных устройств.
Barracuda обещает предоставить новые виртуальные или аппаратные устройства всем пострадавшим пользователям.
Инициированное расследование совместно с привлеченными для этого специалистами Mandiant привело к CVE-2023-2868, которая была впервые проэксплуатирована в октябре 2022 года для получения доступа к устройствам ESG и развертывания бэкдоров, обеспечивающих злоумышленникам постоянный доступ к скомпрометированным системам.
Уязвимость влияет только на устройства Email Security Gateway с версиями 5.1.3.001–9.2.0.006 и связана с проблемой внедрения удаленных команд, обусловленной неполной проверкой входных данных для предоставленных пользователем файлов .tar.
Удаленный злоумышленник может отформатировать имена файлов определенным образом, что приведет к удаленному выполнению системной команды через оператор Perl qx с привилегиями продукта Email Security Gateway.
Barracuda узнала об атаках 18 мая и на следующий день подтвердила наличие новой уязвимости.
Патч на устройства ESG был выпущен 20 мая, а через день поставщик выпустил дополнительный скрипт для локализации потенциального несанкционированного доступа.
Кроме того, Barracuda предоставила дополнительную информацию об атаке и действиях, предпринятых злоумышленниками.
На скомпрометированных устройствах были обнаружены три типа вредоносных ПО. Один из них, SaltWater, был описан как троянизированный модуль для демона SMTP Barracuda, который позволяет загружать или скачивать файлы, выполнять команды и использовать его в качестве прокси.
Другая вредоносная ПО SeaSpy - это бэкдор, выдающий себя за один из сервисов Barracuda.
Он отслеживает трафик и обеспечивает функциональность бэкдора. Mandiant обнаружил некоторое совпадение кода с общедоступным бэкдором cd00r.
Третье вредоносное ПО называется Seaside и описывается как модуль на основе Lua, который также нацелен на демона SMTP Barracuda. Он получает IP-адрес и порт управления и контроля (C2), которые передаются внешнему двоичному файлу, который устанавливает обратную оболочку.
Barracuda представила индикаторы компрометации (IoC) как для конечных точек, так и для сетей, а также правила Yara, которые можно использовать для поиска угроз.
Клиентам рекомендовано убедиться, что их устройства обновлены, и прекратить использование скомпрометированных устройств.
Barracuda обещает предоставить новые виртуальные или аппаратные устройства всем пострадавшим пользователям.
