Halihazırda KKR’nin (Kohlberg Kravis Roberts & Co.) sahibi olduğu Barracuda Networks, Zero Day açığının kullanıldığı ve tehdit aktörlerinin verileri sızdırdığı bir siber saldırı ile karşı karşıya kaldıklarını açıkladı.
Bu saldırının en erken tespiti Ekim 2022’ye kadar uzanıyor.
Kusur, E-posta Güvenliği Ağ Geçidi (ESG) cihazlarında vardı. Şirket, bu sorunu araştırmak için Mandiant siber güvenlik uzmanlarıyla yakın işbirliği içinde çalıştı.
Güvenlik açığının CVE-2023-2868 olduğu belirlendi ve dünya çapındaki tüm ESG cihazlarına bir yama uygulandı.
CVE-2023-2868: Uzaktan Komut Enjeksiyon Güvenlik Açığı
Bu güvenlik açığı, kullanıcı tarafından sağlanan .tar dosyasındaki dosyaların adlarının hatalı işlenmesi, doğrulanması ve temizlenmesi nedeniyle oluşur.
Saldırgan, özel olarak hazırlanmış bir dosya adını belirli bir şekilde göndererek bundan yararlanabilir ve bunun sonucunda E-posta Güvenliği Ağ Geçidi (ESG) ürünü içindeki Perl’in qx operatörü aracılığıyla sistemde uzaktan komut yürütülmesine neden olabilir.
Etkilenen Ürünler
| Ürünler | Versiyonlar |
| E-posta Güvenliği Ağ Geçidi Uygulaması | 5.1.3.001-9.2.0.006 |
Zero-Day Kullanarak Kötü Amaçlı Yazılım Dağıtımı
Barracuda Email Security Gateway Appliance’ı kullanan tehdit aktörleri tarafından dağıtılan üç kötü amaçlı yazılım vardı.
TUZLU SU – Rastgele dosyaların yüklenmesi veya indirilmesi, komut yürütme, proxy ve tünel oluşturma için Truva atına bulaştırılmış kötü amaçlı yazılım. Bu işlevler için beş kanal kullanır: UploadChannel, DownloadChannel, ProxyChannel, TunnelArgs ve ShellChannel.
SEASPY – Kendini bir PCAP filtresi olarak kurarak meşru bir Barracuda Ağ Hizmeti gibi görünen kalıcı arka kapı. 25 numaralı bağlantı noktası (SMTP) trafiğini izler ve arka kapı işlevselliğini içerir.
Zorunlu analiz, kodun SEASPY ile halka açık bir arka kapı olan cd00r arasında çakışabileceğini belirtti.
SAHİL – Komut ve kontrol (C2) IP adresini ve bağlantı noktasını almak için kullanılan SMTP HELO/EHLO komutlarını izleyen Lua tabanlı modül. Bilgileri bağımsız değişkenler olarak harici bir kitaplığa göndererek ters bir kabuk oluşturur.
| Modül | İsim | SHA256 |
| TUZLU SU | mod_up.so | 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4 |
| SEASPY | Barracuda Posta Hizmeti | 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115 |
| SAHİL | mod_require_helo.lua | fa8996766ae347ddcbbd1818fe3a878272653601a347d76ea3d5dfc227cd0bc8 |
| Modül | MD5 | Dosya tipi | Boyut (Bayt) |
| TUZLU SU | 827d507aa3bde0ef903ca5dec60cdec8 | on bir x86 | 1.879.643 |
| SEASPY | 4ca4f582418b2cc0626700511a6315c0 | ELF x64 | 2.924.217 |
| SAHİL | cd2813f0260d63ad5adf0446253c2172 | ikinci modül | 2.724 |
Barracuda ayrıca bu kötü amaçlı yazılımı tespit etmek için Tehlike Göstergeleri, Ağ IOC’leri ve YARA kuralları sağlamıştır.
Barracuda Networks, “Bu güvenlik açığını araştırmak için acil adımlar attık.
Araştırmamız, güvenlik açığının birkaç e-posta ağ geçidi aracına yetkisiz erişimle sonuçlandığını ortaya çıkardı. Sınırlama stratejimizin bir parçası olarak, tüm ESG cihazları 21 Mayıs 2023’te ikinci bir yama aldı..”
Şirket ayrıca SaaS e-posta güvenlik hizmetleri de dahil olmak üzere başka hiçbir Barracuda ürününün bu güvenlik açığından etkilenmediğini doğruladı.
20 Mayıs 2023’te BNSF-36456’nın bir parçası olarak bu güvenlik açığını gidermek için yamalar yayınladılar.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin