Tehdit algılama ve yanıt hizmetleri tedarikçisi Vectra AI’deki araştırmacılar, Proofpoint tarafından geliştirilen Suricata kuralını ihlal etmeyi başardıktan sonra, ifşa sonrasında sıfır gün istismarını yönetmek için daha az katı ve daha dinamik bir yaklaşım benimsemenin önemi konusunda uyardılar. Barracuda Networks’ün Email Security Gateway (ESG) cihazlarındaki bir kusurdan yararlanıldığını tespit etmek.
Oldukça sınırlı sayıda ESG cihazı alt kümesinde bulunan, uzaktan kod yürütmeye (RCE) yol açan bir uzaktan komut ekleme güvenlik açığı olan CVE-2023-2868’in varlığı, Mayıs ayında Barracuda tarafından açıklandı; ancak daha önce birkaç ay boyunca bir kişi tarafından istismar edilmedi. Çin devleti tehdit aktörü.
Biraz utanç verici bir gelişme olarak, Barracuda tarafından yayınlanan ilk yamanın etkisiz olduğu belirlendi ve bu durum, etkilenen cihazların sahiplerine yama yapılıp yapılmadığına bakılmaksızın onlardan kurtulmaları ve yenisini almaları söylenmesi gerektiği talihsiz bir durumla sonuçlandı. .
Buna rağmen, Vectra AI’den Quentin Olagne, Proofpoint’teki Yükselen Tehdit ekibinin daha sonra CVE-2023-2868’den yararlanma girişimlerini tespit etmek için tasarlanmış bir Suricata tespit kuralı (SID 2046280) yayınladığını söyledi.
Vectra AI müşterisi Olagne, bir süre sonra, bu kuralın olması gerektiği gibi performans göstermeyebileceğine dair kanıtlar bulduktan sonra firmaya bu kuralla ilgili endişelerini dile getirdiğini söyledi.
“[We] Olagne, “kuralın, istismar yükünün başarılı bir şekilde teslim edilmesine rağmen belirli bir kavram kanıtı istismarı konusunda uyarı vermede başarısız olduğunu tespit etti” diye yazdı.
“Kural ve ilgili istismarı analiz ettik ve istismar yükündeki istismarla ilgili içeriğin deterministik olmayan bir şekilde sıralanmasından kaynaklanan spesifik tespit açığını belirledik.
“Belirlenen boşlukla birlikte, gerekli tespit kapsamını sağlayacak bir kuralı yeniden yazabildik. [and] Bulgularımızı Proofpoint’in Yükselen Tehditler ekibine gönderdikten sonra yeni bir M2 tespit kuralı yayınladılar” diye yazdı.
Olagne, herkesin, hatta tehdit aktörlerinin bile kurallara uyduğu varsayımı nedeniyle orijinal kuralın kusurlu olduğunu açıkladı.
CVE-2023-2868, söz konusu arşiv içindeki dosyaların adlarıyla ilgili olduğundan, bir kullanıcı tedarikçisi .TAR arşiv dosyasının eksik giriş doğrulamasından kaynaklanmıştır. Bu nedenle özel hazırlanmış dosya adları, saldırganın ESG ayrıcalıklarına sahip bir sistem komutunu çalıştırabileceği bir duruma yol açabilir.
Vectra AI’nin araştırması sırasında Olagne, açıktan yararlanmanın yazarının beklenen kurallara uymaması nedeniyle hala bir yükün Proofpoint kuralını aşabileceği, daha fazla manipüle edilmiş bir .TAR arşivi buldu.
Normal şekilde oluşturulan bir .TAR arşivi, dosya adlarını ve arşivdeki sırasını belirleyen belirli standart kuralları ve kuralları takip eder; orijinal saldırılarda, aslında onları kötü amaçlı komutlara dönüştürerek istismar edilenler bu dosya adlarıydı.
Olagne, istismar yazarının temel kod konusunda “biraz kurnazca” davranması halinde, bu komutları dosya adına değil başlığa koyarak Proofpoint Suricata kuralını gizlice aşabileceğini söyledi.
Bu nedenle kural tetiklenmez çünkü bu başlıklar orijinal kurala göre belirleyici değildir. Meslekten olmayanların ifadesiyle, tespit kuralı yanlış yere bakıyor, dolayısıyla hayati ipuçlarını kaçırıyor ve saldırı devam ediyor.
(Çoğunlukla) mutlu son
Vectra AI bu kuralın atlandığını Proofpoint’e bildirdikten sonra, Eylül ayının sonunda revize edilmiş bir Suricata kuralı yayınlandı – bu SID 2048146’dır. Ve etkilenen cihazların kullanıcılarının şimdiye kadar Barracuda’dan etkilenmemiş yedek parçalar almış olmaları gerektiğinden, bunun gerçekleşmesi muhtemelen pek olası değildir. istismar bypass’ı şimdiye kadar kötü niyetli olarak kullanıldı.
Ancak Olagne, “sürekli gelişen siber güvenlik ortamında yalnızca sabit kurallara ve standartlara güvenmenin sınırlamaları olduğunun” bir göstergesi olarak konuya dikkat çekmenin önemli olduğunu söyledi.
“Bu analiz aracılığıyla, bir yükün kaymasına izin veren TAR arşiv yapısının manipülasyonu yoluyla bu yaklaşımın sınırlamalarının önemli bir örneğine tanık olduk. [Proofpoint] ET’nin CVE-2023-2868 için ilk tespiti. Bu etkinlik, daha uyarlanabilir ve dinamik bir güvenlik stratejisi benimsemenin aciliyetinin altını çiziyor” diye yazdı.
“Yarına baktığımızda, odağımızı katılıktan uzaklaştırıp daha bütünsel, proaktif bir güvenlik paradigmasını benimsemek zorunludur. Yalnızca başka bir kural ihlali olasılığını düşünmek yerine, tespit ve savunma mekanizmalarımızı sürekli geliştirerek siber güvenlik önlemlerimizi geliştirmeye aktif olarak çaba göstermeliyiz.”
“Sabit kuralların sınırlamalarını kabul ederek, siber tehditlerin sürekli olarak geliştiği belirsiz bir geleceğe daha iyi hazırlanabiliriz. Bunu yaparak güvenlik duruşumuzu güçlendirebilir ve ısrarla kuralları aşmaya çalışan kötü niyetli aktörlere karşı daha iyi koruma sağlayabiliriz” diye sözlerini tamamladı.