Güvenlik satıcısı Barracuda, Mayıs 2023’te cihazların kötüye kullanıldığının keşfedilmesinin ardından müşterilere savunmasız e-posta güvenlik ağ geçitlerini (ESG’ler) değiştirmelerini tavsiye ediyor.
Barracuda, Amerika Birleşik Devletleri saatiyle 20 Mayıs’ta dünya çapındaki tüm ESG cihazları için bir yama yayınladı ve bir dizi ek güvenlik güncellemesi dağıtıyor, ancak bu, güvenlik açığını gidermek için yeterli değil.
Eylem bildiriminde Barracuda, “etkilenen ESG cihazlarının yama sürüm düzeyi ne olursa olsun derhal değiştirilmesi gerektiğini” söyledi.
“Kullanıcı arayüzünüzde bildirim aldıktan sonra cihazınızı değiştirmediyseniz, şimdi destekle iletişime geçin ([email protected]).”
“Barracuda’nın şu anda düzeltme önerisi, etkilenen ESG’nin tamamen değiştirilmesidir.”
Güvenlik tedarikçisi, güvenlik açığının – CVE-2023-2868 – “kullanıcı tarafından sağlanan .tar dosyasının eksik giriş doğrulamasından” kaynaklandığını söyledi. [tape archive format] dosyalar, arşivde bulunan dosyaların adlarıyla ilgilidir.”
Barracude, güvenlik açığının ESG cihazlarında komutları uzaktan yürütmek için kullanılabileceğini keşfetti.
Şu anda ESG cihazlarına veri hırsızlığı ve kötü amaçlı yazılım yerleştirildiğine dair kanıtlar var ve bu da saldırganların arka kapı erişimine izin veriyor.
Bilgisayar korsanları, Barracuda basit posta aktarım protokolü arka plan programı (bsmptd) için SALTWATER adlı trojenleştirilmiş bir modül ve uzaktan erişim sağlayan SEASPY paket yakalama filtresi dağıttı.
SEASIDE adlı başka bir modül, Lua dilinde yazılmıştır ve harici bir ikiliye aktarılan komut ve kontrol IP adreslerini ve bağlantı noktalarını almak için SMTP oturum başlatma HELO/EHLO komutlarını izler.
Bu teknik, tehdit aktörlerine ESG cihazlarında ters bir kabuk sağlar.
Google’ın sahibi olduğu diğer güvenlik satıcısı Mandiant, ihlali Barracuda ile birlikte araştırıyor.
Hangi yetkisiz üçüncü tarafın ESG cihazlarına erişim sağladığı henüz bilinmiyor.