Компания Barracuda Networks уведомила своих клиентов о том, что затронутые устройства ESG (Barracuda Email Security Gateway Appliance) должны быть немедленно заменены. Помимо этого нужно сменить все пароли от учётных записей, которые засветились на устройствах.
ACTION NOTICE: Impacted ESG appliances must be immediately replaced regardless of patch version level. If you have not replaced your appliance after receiving notice in your UI, contact support now (support@barracuda.com).
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.
https://www.barracuda.com/company/legal/esg-vulnerability
Майская уязвимость нулевого дня оказалась серьёзной. Началось всё с CVE-2023-2868 (9,8 балла по шкале CVSS). Уязвимость RCE возникла из-за неполной проверки ввода предоставленных пользователем файлов .tar применительно к именам файлов, содержащихся в архиве. Удаленный злоумышленник может форматировать имена файлов определенным образом, что приведет к удаленному выполнению системной команды.
Обнаружено 3 вида вредоносного ПО:
- SALTWATER — это троян-бэкдор для демона Barracuda SMTP (bsmtpd). Возможность загружать или скачивать произвольные файлы, выполнять команды, а также прокси и туннелирование.
- SEASPY — бэкдор x64 ELF, который выдает себя за законный сервис Barracuda Networks как фильтр PCAP. Отслеживает трафик на портах 25 (SMTP) и 587. Содержит функцию бэкдора, которая активируется Magic Packet.
- SEASIDE — модуль на основе Lua для демона Barracuda SMTP (bsmtpd), который может устанавливать реверс-шеллы через SMTP HELO/EHLO через порт управления C2.
Хронология
- 18 мая 2023 года Barracuda была предупреждена об аномальном трафике, исходящем от устройств Barracuda Email Security Gateway (ESG).
- 18 мая 2023 года Barracuda привлекла Mandiant, ведущих мировых экспертов по кибербезопасности, для оказания помощи в расследовании.
- 19 мая 2023 года компания Barracuda обнаружила уязвимость (CVE-2023-2868) в своём устройстве Email Security Gateway (ESG).
- 20 мая 2023 года исправление безопасности для устранения уязвимости было применено ко всем устройствам ESG по всему миру.
- 21 мая 2023 года на всех затронутых устройствах был развернут сценарий для сдерживания инцидента и противодействия методам несанкционированного доступа.
- Серия исправлений безопасности внедряется на все устройства в соответствии с нашей стратегией сдерживания.
Выводы
Хотя расследование все еще продолжается, Barracuda пришла к следующим выводам:
- Уязвимость существовала в модуле, который изначально проверяет вложения входящих писем. Никакие другие продукты Barracuda, включая наши службы безопасности электронной почты SaaS, не были подвержены выявленной уязвимости.
- Самые ранние выявленные признаки эксплуатации CVE-2023-2868 датируются октябрем 2022 года.
- Barracuda определила, что CVE-2023-2868 использовалась для получения несанкционированного доступа к множеству устройств ESG.
- Вредоносное ПО было обнаружено на множестве устройств, обеспечивающих постоянный доступ к бэкдору.
- Свидетельства утечки данных были обнаружены на множестве затронутых устройств.
