Barracuda Networks Email Security Gateway (ESG) cihazlarında yakın zamanda keşfedilen sıfır gün güvenlik açığı (CVE-2023-2868) önemli endişelere yol açtı.
CVE-2023-2868, Barracuda ESG cihazlarında sistem komutlarının yönetici ayrıcalıklarıyla yetkisiz yürütülmesine izin veren bir uzaktan komut yerleştirme güvenlik açığıdır.
Bu güvenlik açığının, cihaz form faktöründeki ESG 5.1.3.001-9.2.0.006 sürümlerini etkilemesi dikkat çekicidir. Güvenlik açığından e-posta eki tarama işlemi sırasında yararlanılır.
Siber aktörler, TAR dosyası eklerini belirli bir şekilde biçimlendirebilir ve bunları bir ESG cihazıyla bir alana bağlı bir e-posta adresine gönderebilir.
Bu kötü amaçlı ek, bir komut enjeksiyonunu tetikleyerek ESG içindeki komutların kendi ayrıcalıklarıyla yürütülmesine olanak tanır. Barracuda’nın sıfır gün güvenlik açığı hakkında daha fazla ayrıntıyı burada bulabilirsiniz.
Şüpheli Çin Halk Cumhuriyeti Siber Aktörleri Tarafından Suistimal
Barracuda ESG cihazlarının kullanıldığına dair kanıtlar Ekim 2022’de ortaya çıktı.
Şüpheli ÇHC siber aktörleri, mağdurları hedeflemek için kötü amaçlı ekler içeren e-postalar kullandı.
Başlangıçta eklerin “.tar” uzantıları vardı, daha sonra “.jpg” veya “.dat” gibi farklı formatlara dönüştü.
Taramanın ardından bu dosyalar, aktörler tarafından kontrol edilen bir etki alanına/IP’ye bağlantı başlatarak bir ters kabuk oluşturdu ve ESG cihazında daha fazla komut verilmesini sağladı.
Saldırının ardından aktörler, kalıcı erişim elde etmek, e-postaları taramak, kimlik bilgilerini toplamak ve verileri sızdırmak için çeşitli kötü amaçlı yükler enjekte etti.
Güvenlik açığından yararlanılması, komut eklemeyi tetiklemek için kötü amaçlı eklerin biçimlendirilmesini içerir.
Kötüye kullanılan ESG cihazları, yamalar uygulandıktan sonra bile risk altında kalır. FBI, etkilenen ESG cihazlarının derhal izole edilmesini ve değiştirilmesini talep ediyor.
Saldırganların gelişmiş teknikleri arasında adli tıp da yer alıyor ve bu da tespit etmeyi zorlaştırıyor.
Tehlike göstergelerini sağlamak için ağların bağlantılar açısından taranması gerekir.
FBI, bir soruşturma kapsamında saldırganların kötü amaçlı faaliyetler için kullandığı alan adlarını ve IP adreslerini içeren bir liste yayınladı.
Önerilen Azaltmalar
FBI’ın siber bölümü de bu istismara yönelik Barracuda azaltım önerilerini yayınladı.
- Tüm ESG cihazlarını derhal kaldırın.
- Sağlanan göstergeleri kullanarak giden bağlantılar için taramalar gerçekleştirin.
- Güvenliği ihlal edilmiş kimlik bilgilerini araştırın ve iptal edin.
- Güvenliği aşma sırasında mevcut olan sertifikaları iptal edin ve yeniden yayınlayın.
- Veri sızması ve yanal hareket belirtileri açısından tüm ağı izleyin.
- Adli görüntüler yakalayın ve kapsamlı bir analiz yapın.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.