Saldırganlar, Kötü Amaçlı Yazılım Yüklemek, Verileri Çalmak için ESG Cihazlarındaki Artık Düzeltilen Kusurdan Yararlandı
Mathew J. Schwartz (euroinfosec) •
31 Mayıs 2023
Barracuda Networks, saldırganların E-posta Güvenliği Ağ Geçidi cihazlarında son zamanlarda yamalanan sıfır gün güvenlik açığından sekiz aya kadar yararlandıkları konusunda uyarıda bulunuyor.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
CVE-2023-2868 olarak izlenen ciddi uzaktan komut ekleme güvenlik açığı, Barracuda’nın Email Security Gateway cihazlarının tüm donanım ve sanal sürümlerinde mevcuttu. Satıcı, 23 Mayıs’ta saldırılarla ilgili ilk genel uyarısını yayınladı.
Satıcı, Salı günü “önemli bulguların ön özeti” başlıklı bir güncellemede, saldırganların Ekim ayında ve muhtemelen daha önce başlayarak güvenlik açığını keşfettiğini ve bu güvenlik açığından yararlandığını bildirdi. Barracuda, Google’ın Mandiant şirketinden dijital adli tıp müfettişlerinin, saldırganların kendilerine cihaza “sürekli arka kapı erişimi” sağlamak ve veri sızdırmak için kötü amaçlı yazılım yüklemek üzere güvenlik açığından yararlandıklarını tespit etti.
Satıcı, ESG ürünlerinde bulunan – ancak diğerlerinde olmayan – güvenlik açığının, yazılımının kullanıcı tarafından sağlanan bir dosyada bulunan dosyaların adlarını tam olarak doğrulayamamasından kaynaklandığını söyledi. .tar birçok farklı dosyayı tek bir arşivde toplayan dosya. Kusur nedeniyle, “uzaktaki bir saldırgan, dosya adlarını, Email Security Gateway ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla uzaktan bir sistem komutunun yürütülmesine neden olacak şekilde belirli bir şekilde biçimlendirebilir” dedi.
Barracuda, en az bir saldırganın “ESG cihazlarının bir alt kümesine yetkisiz erişim elde etmek için” güvenlik açığından başarıyla yararlandığını söyledi. Satıcı, saldırganların kaç cihazı hedeflediğini ayrıntılı olarak açıklamadı ve etkilenen müşterilerin sayısını verme talebine hemen yanıt vermedi.
Geçen Ekimden İstismar İzi
Şu anda bilinenlere dayanarak, Barracuda şu zaman çizelgesini yayınladı:
- Ekim 2022: ESG cihazları CVE-2023-2868’in bilinen ilk istismarları başladı, ancak tespit edilmedi;
- 18 Mayıs 2023: Barracuda, ESG cihazlarından kaynaklanan şüpheli trafik raporu alır ve araştırması için Mandiant’ı getirir;
- 19 Mayıs: Barracuda, ESG cihazı sürüm 5.1.3.001-9.2.0.006’da bulunan CVE-2023-2868 güvenlik açığını tespit etti;
- 20 Mayıs: Barracuda, kusuru düzeltmek için ilk güvenlik yamasını tüm ESG cihazlarına gönderiyor;
- 21 Mayıs: Barracuda, “olayı kontrol altına alma ve yetkisiz erişim yöntemlerine karşı koyma” stratejisi olarak tanımladığı şeyin bir parçası olarak tüm ESG cihazlarına bir komut dosyası gönderir.
Barracuda, “çevreleme stratejimizi ilerletmek için” ESG cihazlarına “bir dizi güvenlik yaması” geliştirmeye ve dağıtmaya devam ettiğini söyledi.
Satıcı, müşterilerin BT ortamlarından ziyade yalnızca ESG ürününe odaklandığından, etkilenen müşterilere bilgisayar korsanlarının ağlarına uzaktan erişim elde ettiklerine dair işaretler aramaları gerektiğini söylüyor.
Satıcı, uç nokta ve ağ güvenliği göstergelerinin bir listesinin yanı sıra bir dizi kötü amaçlı yazılım tespit modeli – diğer adıyla YARA kuralları yayınladı. ESG cihazlarının hedef alındığına dair işaretler konusunda uyardığı tüm müşterilerin, IOC’leri kullanarak uç noktalarını ve ağlarını yakından incelemelerini önerir.
Barracuda, saldırıya uğramış ESG cihazlarından üç tür kötü amaçlı yazılımın kurtarıldığını bildirdi:
- Tuzlu su: “Barracuda SMTP arka plan programı (bsmtpd) için Truva Atı’na dönüştürülmüş bir modül” olarak tanımlanan bu modül, saldırganlara “arka kapı işlevselliği” sağlar ve Mandiant tarafından diğer kötü amaçlı yazılım aileleriyle çakışma belirtileri için hâlâ incelenmektedir.
- – Bu 64 bit ELF dosyası, “meşru bir Barracuda Networks hizmeti gibi görünen ve kendisini bir PCAP filtresi olarak belirleyen” bir arka kapıdır. Görünüşe göre cd00r adlı halka açık bir arka kapıya dayanıyor.
- Sahil: Ters bir kabuk oluşturan bsmtpd için bir Lua betiğidir.
Etkilenen müşteriler için Barracuda, müşteri destek ekibiyle birlikte ESG cihazlarının uzaktan yayınlanan tüm yamaları ve güncellemeleri almaya ve uygulamaya ayarlı olduğunu ve yazılımının en son sürümünü çalıştırdığını, ESG cihazlarına bağlı tüm kimlik bilgilerini döndürdüğünü ve iletişime geçtiğini doğrulamasını önerir. satıcının yedek sanal veya donanım araçlarını alması.