TechSpot praznuje 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
PSA: Barracuda’s Email Security Gateway je priljubljen poslovni e-poštni odjemalec. Na žalost zadnjih osem mesecev ni bil v skladu z varnostnim vidikom svojega imena. Hekerji so uporabljali napako v programski opremi za okužbo sistemov z najmanj tremi vrstami zlonamerne programske opreme, ki vključujejo C2, vstavljanje ukazov, nadzor vrat in trajne zmožnosti zakulisnih vrat.
Varnostno podjetje Barracuda Networks je razkrilo ranljivost ničelnega dne v svojem priljubljenem e-poštnem odjemalcu, ki so jo hekerji izkoriščali osem mesecev, preden so jo odkrili in popravili. Popravek je bil uveden pred 11 dnevi, Barracuda pa je stranke obvestila o napaki prek svojega varnostnega prehoda za e-pošto (ESG) in zagotovila ukrepe za ublažitev.
Varnostna luknja (CVE-2023-2868) je omogočala daljinsko vbrizgavanje ukazov prek ESG zaradi „nepopolne validacije vnosa” uporabniško posredovanih datotek .tar, včasih imenovanih tarballs. Tarballs so podobni arhivom zip, saj vsebujejo zbirko datotek, stisnjenih v en vsebnik.
Težava je bila v tem, da so lahko v različicah od 5.1.3.001 do 9.2.0.006 odjemalca Barracuda ESG slabi akterji izvajali sistemske ukaze prek operaterja QX, če je bil arhiv poimenovan na določen, nedoločen način. Napaka je vključevala, kako programski jezik Perl obravnava narekovaje, vendar je to tako specifično, kot bi Barracuda dobila.
Družba pravi, da je njena preiskava ugotovila, da so zlonamerni akterji izkoristili šibkost med oktobrom 2022 in 20. majem 2023. Hekerji so jo uporabili za dostavo koristne vsebine zlonamerne programske opreme v ranljive sisteme, predvsem pakete, identificirane kot Saltwater, Seaside in Seaspy.
Saltwater je trojanec, ki posnema Barracudin SMTP demon (bsmtpd). Zlonamerna programska oprema ima funkcijo zakulisnih vrat, tako da lahko napadalci nalagajo ali prenašajo datoteke, izvajajo ukaze ter uporabljajo proxy in zmogljivosti tuneliranja.
Seaside je modul, ki temelji na Lui in je namenjen tudi demonu SMTP. Spremlja ukaze HELO/EHLO, išče naslove IP in vrata za ukaze in nadzor (C2). Ko je prejet, pošlje podatke C2 kot argumente v zunanjo dvojiško datoteko, da ustvari „lupino za povratno povezavo”.
Seaspy je datoteka x64 ELF (izvršljiva in povezljiva oblika), ki se pretvarja, da je legitimna storitev Barracuda Networks. Potem ko se uveljavi kot filter PCAP, spremlja promet na vratih 25 (SMTP). Seaspy lahko deluje kot vztrajna zadnja vrata, Barracuda pa pravi, da ga lahko operaterji prikrito aktivirajo prek „čarobnega paketa”.
Barracuda ni razkrila, koliko strank je bilo izkoriščanih v osmih mesecih, ko je luknja ostala neodkrita, vendar je napako popravila takoj, preden je obvestila svoje stranke.
„Uporabniki, za katere menimo, da so bile prizadete naprave, so bili prek uporabniškega vmesnika ESG obveščeni o ukrepih, ki jih je treba izvesti,” je navedlo podjetje. „Barracuda se je obrnila tudi na te specifične stranke. Dodatne stranke bodo morda identificirane med preiskavo.”
Če uporabljate Barracudin e-poštni odjemalec ESG, vendar od podjetja niste prejeli obvestila, takoj posodobite programsko opremo. Morda boste želeli sprejeti tudi blažilne ukrepe, ki jih je Barracuda navedla v javnem obvestilu.