Resim: Bing Resim Oluşturucu
Ağ ve e-posta güvenlik firması Barracuda bugün, yakın zamanda yamalanan bir sıfırıncı gün güvenlik açığının, özel kötü amaçlı yazılım ve veri çalma ile müşterilerin E-posta Güvenliği Ağ Geçidi (ESG) cihazlarına arka kapı olarak en az yedi ay boyunca istismar edildiğini ortaya çıkardı.
Şirket, devam eden bir soruşturmanın, (CVE-2023-2868 olarak izlenen) hatanın ilk olarak Ekim 2022’de “ESG cihazlarının bir alt kümesine” erişim elde etmek ve saldırganların güvenliği ihlal edilmiş cihazlara kalıcı erişim sağlamak için tasarlanmış arka kapılar yerleştirmek için kullanıldığını bulduğunu söylüyor. sistemler.
Barracuda ayrıca, tehdit aktörlerinin arka kapılı ESG cihazlarından bilgi çaldığına dair kanıtlar da buldu.
Güvenlik açığı, ESG cihazlarından gelen şüpheli trafik konusunda uyarıldıktan ve soruşturmaya yardımcı olması için siber güvenlik firması Mandiant’ı işe aldıktan bir gün sonra, 19 Mayıs’ta tespit edildi.
Şirket, 20 Mayıs’ta tüm ESG cihazlarına bir güvenlik yaması uygulayarak sorunu ele aldı ve bir gün sonra özel bir komut dosyası dağıtarak saldırganların güvenliği ihlal edilmiş cihazlara erişimini engelledi.
24 Mayıs’ta müşterileri, ESG cihazlarının artık yama uygulanmış sıfır gün hatası kullanılarak ihlal edilmiş olabileceği konusunda uyardı ve onlara, muhtemelen saldırganların ağlarındaki diğer cihazlara yatay olarak hareket etmesini sağlamak için ortamlarını araştırmalarını tavsiye etti.
Barracuda ayrıca bugün yaptığı açıklamada, “Sınırlama stratejimizi ilerletmek için tüm cihazlara bir dizi güvenlik yaması dağıtılıyor” dedi.
“Cihazlarının etkilendiğine inandığımız kullanıcılara, ESG kullanıcı arabirimi aracılığıyla yapılması gerekenler bildirildi. Barracuda ayrıca bu belirli müşterilere ulaştı.”
CISA, CVE-2023-2868 kusurunu Cuma günü bilinen istismar edilen güvenlik açıkları listesine ekledi; bu, muhtemelen ESG cihazlarını kullanarak ağlarını güvenlik ihlallerinden kaynaklanan izinsiz giriş belirtileri açısından kontrol etmek için kullanan federal kurumlara bir uyarı olarak eklendi.
Saldırıda dağıtılan özel uyarlanmış kötü amaçlı yazılım
Araştırma sırasında, güvenliği ihlal edilmiş Email Security Gateway ürünlerinde kullanılmak üzere özel olarak tasarlanmış, önceden bilinmeyen birkaç kötü amaçlı yazılım türü bulundu.
Tuzlu Su olarak adlandırılan ilki, saldırganların virüs bulaşmış cihazlara arka kapıdan erişmesini sağlayan, truva atı haline getirilmiş bir Barracuda SMTP arka plan programı (bsmtpd) modülüdür.
“Özellikleri” arasında güvenliği ihlal edilmiş cihazlarda komut yürütme, dosya aktarma ve tespitten kurtulmaya yardımcı olmak için saldırganların kötü niyetli trafiğine proxy/tünel açma yeteneği yer alır.
Bu kampanya sırasında devreye alınan ve SeaSpy olarak adlandırılan başka bir kötü amaçlı yazılım türü, kalıcılık sağlar ve “sihirli paketler” kullanılarak etkinleştirilebilir. SeaSpy, bağlantı noktası 25 (SMTP) trafiğinin izlenmesine yardımcı olur ve kodunun bir kısmı, halka açık cd00r pasif arka kapısıyla çakışır.
Tehdit aktörleri ayrıca, kötü amaçlı yazılımın komut ve kontrol (C2) sunucusu aracılığıyla gönderilen SMTP HELO/EHLO komutları aracılığıyla ters kabuklar oluşturmak için SeaSide adlı bir bsmtpd kötü amaçlı modül kullandı.
Müşterilere, ESG cihazlarının güncel olup olmadığını kontrol etmeleri, ihlal edilen cihazları kullanmayı bırakmaları ve yeni bir sanal veya donanım cihazı talep etmeleri, saldırıya uğramış cihazlarla bağlantılı tüm kimlik bilgilerini döndürmeleri ve bugün paylaşılan IOC’ler ve şu anki bağlantılar için ağ günlüklerini kontrol etmeleri önerilir. bilinmeyen IP’ler
Barracuda, ürünlerinin Samsung, Delta Airlines, Mitsubishi ve Kraft Heinz gibi yüksek profilli şirketler de dahil olmak üzere 200.000’den fazla kuruluş tarafından kullanıldığını söylüyor.