Salı günü kurumsal güvenlik şirketi Barracuda, E-posta Güvenliği Ağ Geçidi (ESG) cihazlarında yakın zamanda yamalanan bir sıfır gün kusurunun, Ekim 2022’den bu yana tehdit aktörleri tarafından cihazlara arka kapı açmak için kötüye kullanıldığını açıkladı.
Son bulgular, CVE-2023-2868 (CVSS puanı: N/A) olarak izlenen kritik güvenlik açığının keşfedilmesinden en az yedi ay önce aktif olarak kullanıldığını gösteriyor.
Barracuda’nın 19 Mayıs 2023’te tespit ettiği kusur, 5.1.3.001’den 9.2.0.006’ya kadar olan sürümleri etkiliyor ve uzaktaki bir saldırganın hassas kurulumlarda kod yürütmesine izin verebilir. Yamalar Barracuda tarafından 20 Mayıs ve 21 Mayıs tarihlerinde yayınlandı.
Ağ ve e-posta güvenlik şirketi, güncellenmiş bir danışma belgesinde “CVE-2023-2868, ESG cihazlarının bir alt kümesine yetkisiz erişim elde etmek için kullanıldı” dedi.
“Aygıtların bir alt kümesinde kalıcı arka kapı erişimine izin veren kötü amaçlı yazılım belirlendi. Etkilenen aygıtların bir alt kümesinde veri hırsızlığına ilişkin kanıt belirlendi.”
Bugüne kadar üç farklı kötü amaçlı yazılım türü keşfedildi –
- TUZLU SU – Barracuda SMTP arka plan programı (bsmtpd) için rastgele dosyaları yüklemek veya indirmek, komutları yürütmek ve radarın altında uçmak için proxy ve kötü amaçlı trafiği tünellemek için donanımlı bir truva atı modülü.
- SEASPY – Kalıcılık yetenekleri sunan ve sihirli bir paket aracılığıyla etkinleştirilen bir x64 ELF arka kapısı.
- SAHİL – bsmtpd için Lua tabanlı bir modül, kötü amaçlı yazılımın komut ve kontrol (C2) sunucusu aracılığıyla gönderilen SMTP HELO/EHLO komutları aracılığıyla ters kabuklar oluşturur.
Olayı araştıran Google’a ait Mandiant’a göre, SEASPY ile cd00r arasında kaynak kodu çakışmaları tespit edildi. Saldırılar, bilinen bir tehdit aktörü veya grubuna atfedilmedi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), geçen hafta hatayı Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumları 16 Haziran 2023’e kadar düzeltmeleri uygulamaya çağırdı.
Barracuda, kaç kuruluşun ihlal edildiğini açıklamadı, ancak hafifletme rehberliği ile doğrudan temasa geçildiğini kaydetti. Ayrıca, devam eden soruşturmanın ek kullanıcıları ortaya çıkarabileceği konusunda da uyardı.