Barracuda, sıfır gün güvenlik açığı (CVE-2023-2868) aracılığıyla bazı müşterilerinin ESG cihazlarının yakın zamanda keşfedilen gizliliğinin, üç tür kötü amaçlı yazılım ve veri hırsızlığının konuşlandırılmasıyla sonuçlandığını söylüyor.
Şirket, kaç kuruluşun ihlal edildiğini söylemedi, ancak “CVE-2023-2868’in kötüye kullanıldığına dair tespit edilen en eski kanıtın şu anda Ekim 2022 olduğunu” doğruladı.
Sıfır gün istismar edildi, Barracuda ESG cihazları arka plana alındı
23 Mayıs’ta Barracuda Networks, saldırganların CVE-2023-2868’den yararlanarak çeşitli kuruluşlarda Email Security Gateway şirket içi fiziksel cihazlarını ihlal ettiğini açıkça kabul etti.
Bugün, uzaktan komut ekleme güvenlik açığını düzelten ilk yamanın 20 Mayıs’ta dünya çapındaki tüm ESG cihazlarına uygulandığını ve ardından “olayı kontrol altına almak ve yetkisiz erişime karşı koymak için etkilenen tüm cihazlara dağıtılan” bir komut dosyasının geldiğini doğruladılar. yöntemler.”
Mandiant’tan siber güvenlik uzmanlarının yardımıyla, etkilenen cihazlara en az üç farklı kötü amaçlı yükün düştüğünü buldular:
- TUZLU SUBarracuda SMTP arka plan programı (bsmtpd) için proxy ve tünel oluşturma yeteneklerine sahip bir arka kapı görevi gören ve saldırganların rasgele dosyalar yüklemesine veya indirmesine ve komutları yürütmesine izin veren truva atı uygulanmış bir modül.
- SEASPYmeşru bir Barracuda Networks hizmeti gibi görünen ve kendisini bir PCAP filtresi olarak kuran, özellikle 25 numaralı bağlantı noktasındaki (SMTP) trafiği izleyen bir x64 ELF kalıcılık arka kapısı
- SAHİLSaldırganların C2 sunucusuyla bağlantı kuran ve (sisteme erişim sağlamak için) bir ters kabuk oluşturmaya yardımcı olan Barracuda SMTP arka plan programı (bsmtpd) için Lua tabanlı bir modül
Şirket, SEASPY ile halka açık bir PoC arka kapısı olan cd00r arasında bir miktar kod çakışması olduğunu, ancak kötü amaçlı yazılımın henüz belirli tehdit aktörlerine bağlanmadığını söyledi.
Etkilenen müşteriler için tavsiyeler
Barracuda’nın, aynı zamanda özel olarak uyarılmış olan, etkilenen ESG müşterilerine tavsiyesi şu şekildedir:
- Cihazın Barracuda’dan güncellemeleri ve güvenlik yamalarını aldığından ve uyguladığından emin olun
- Mümkünse, güvenliği ihlal edilmiş ESG aracını kaldırın ve yeni bir ESG sanal veya donanım aracı edinmek için şirketle iletişime geçin.
- ESG cihazına bağlı tüm kimlik bilgilerini döndürün
- Ağ günlüklerini inceleyin ve şirket tarafından paylaşılan IOC’leri ve IP’leri arayın
Barracuda, kuruluşların CVE-2023-2868’den yararlanan kötü amaçlı TAR dosyasını bulmasına yardımcı olmak için YARA kuralları da sağlamıştır.
Şirket, “Kapatma stratejimizi ilerletmek için tüm cihazlara bir dizi güvenlik yaması dağıtılıyor” diye ekledi, ancak daha fazla ayrıntı vermedi.