Компрометация шлюзов Barracuda ESG, требующая замены оборудования
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Компания Barracuda Networks объявила о необходимости физической замены устройств ESG (Email Security Gateway), поражённых вредоносным ПО в результате 0-day уязвимости в модуле обработки вложений к электронной почте. Сообщается, что для блокирования проблемы установки ранее выпущенных патчей недостаточно. Подробности не приводятся, но предположительно решение о замене оборудования принято из-за атаки, приведшей к установке вредоносного ПО на низком уровне, и невозможности его удалить путём замены прошивки или сброса в заводское состояние. Оборудование будет заменено бесплатно, о компенсации расходов на доставку и работу по замене не уточняется.
ESG представляет собой аппаратно-программный комплекс для защиты электронной почты предприятий от атак, спама и вирусов. 18 мая был зафиксирован аномальный трафик с устройств ESG, который оказался связан с вредоносной активностью. Разбор показал, что устройства были скомпрометированы, используя неисправленную (0-day) уязвимость (CVE-2023-28681), позволяющую выполнить свой код через отправку специально оформленного электронного письма. Проблема была вызвана отсутствием должной проверки имён файлов внутри tar-архивов, передаваемых в почтовом вложении, и позволяла выполнить произвольную команду в системе с повышенными привилегиями, обойдя экранирование при выполнении кода через Perl-оператор "qx".
Уязвимость присутствует в отдельно поставляемых устройствах ESG (appliance) с прошивками версий с 5.1.3.001 по 9.2.0.006 включительно. Факты эксплуатации уязвимости прослеживаются ещё с октября 2022 года и до мая 2023 года проблема оставалась незамеченной. Уязвимость использовалась атакующими для установки на шлюзах нескольких видов вредоносного ПО - SALTWATER, SEASPY и SEASIDE, предоставляющих внешний доступ к устройству (бэкдор) и применяемых для перехвата конфиденциальных данных.
Бэкдор SALTWATER был оформлен в виде модуля mod_udp.so к SMTP-процессу bsmtpd и позволял загружать и запускать в системе произвольные файлы, а также проксировать запросы и туннелировать трафик на внешний сервер. Для получения управления в бэкдоре использовался перехват системных вызовов send, recv и close.
Вредоносный компонент SEASIDE был написан на языке Lua, устанавливался в виде модуля mod_require_helo.lua для SMTP-сервера и занимался отслеживанием входящих команд HELO/EHLO, выявлением запросов с управляющего сервера и определением параметров запуска обратного shell.
SEASPY представлял собой исполняемый файл BarracudaMailService, устанавливаемый в виде системного сервиса. Сервис использовал фильтр на базе PCAP для отслеживания трафика на 25 (SMTP) и 587 сетевых портах и активировал бэкдор при выявлении пакета со специальной последовательностью.
20 мая компания Barracuda выпустила обновление с исправлением уязвимости, которое 21 мая было доставлено на все устройства. 8 июня было объявлено, что обновления недостаточно и пользователям необходимо физически заменить скомпрометированные устройства. Пользователям также рекомендуется заменить все ключи доступа и учётные данные, которые пересекались с Barracuda ESG, например, в привязанных LDAP/AD и Barracuda Cloud Control. По предварительным данным в сети находится около 11 тысяч устройств ESG, использующих сервис Barracuda Networks Spam Firewall smtpd, который применяется в Email Security Gateway.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://krebsonsecurity.com/20...)
- OpenNews: Уязвимости в Realtek SDK привели к проблемам в устройствах 65 производителей
- OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft
- OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
- OpenNews: Утечка закрытых ключей Intel, используемых для заверения прошивок MSI
- OpenNews: В UEFI-прошивках материнских плат Gigabyte выявлена активность, напоминающая бэкдор
Похожие новости:
- PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
- В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов
- [Информационная безопасность, Карьера в IT-индустрии] Как киберпреступные группы нанимают сотрудников (перевод)
- [Информационная безопасность, Open source, Антивирусная защита] Транспортный агент MS Exchange для защиты от вирусов и нежелательной почты
- RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
- Отчёт о компрометации git-репозитория и базы пользователей проекта PHP
- [Информационная безопасность, Реверс-инжиниринг, Исследования и прогнозы в IT, IT-компании] Kremlin RATs: история одной мистификации
- [Информационная безопасность, Разработка веб-сайтов, PHP, Антивирусная защита] Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP (перевод)
Теги для поиска: #_barracuda, #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 18:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Компания Barracuda Networks объявила о необходимости физической замены устройств ESG (Email Security Gateway), поражённых вредоносным ПО в результате 0-day уязвимости в модуле обработки вложений к электронной почте. Сообщается, что для блокирования проблемы установки ранее выпущенных патчей недостаточно. Подробности не приводятся, но предположительно решение о замене оборудования принято из-за атаки, приведшей к установке вредоносного ПО на низком уровне, и невозможности его удалить путём замены прошивки или сброса в заводское состояние. Оборудование будет заменено бесплатно, о компенсации расходов на доставку и работу по замене не уточняется. ESG представляет собой аппаратно-программный комплекс для защиты электронной почты предприятий от атак, спама и вирусов. 18 мая был зафиксирован аномальный трафик с устройств ESG, который оказался связан с вредоносной активностью. Разбор показал, что устройства были скомпрометированы, используя неисправленную (0-day) уязвимость (CVE-2023-28681), позволяющую выполнить свой код через отправку специально оформленного электронного письма. Проблема была вызвана отсутствием должной проверки имён файлов внутри tar-архивов, передаваемых в почтовом вложении, и позволяла выполнить произвольную команду в системе с повышенными привилегиями, обойдя экранирование при выполнении кода через Perl-оператор "qx". Уязвимость присутствует в отдельно поставляемых устройствах ESG (appliance) с прошивками версий с 5.1.3.001 по 9.2.0.006 включительно. Факты эксплуатации уязвимости прослеживаются ещё с октября 2022 года и до мая 2023 года проблема оставалась незамеченной. Уязвимость использовалась атакующими для установки на шлюзах нескольких видов вредоносного ПО - SALTWATER, SEASPY и SEASIDE, предоставляющих внешний доступ к устройству (бэкдор) и применяемых для перехвата конфиденциальных данных. Бэкдор SALTWATER был оформлен в виде модуля mod_udp.so к SMTP-процессу bsmtpd и позволял загружать и запускать в системе произвольные файлы, а также проксировать запросы и туннелировать трафик на внешний сервер. Для получения управления в бэкдоре использовался перехват системных вызовов send, recv и close. Вредоносный компонент SEASIDE был написан на языке Lua, устанавливался в виде модуля mod_require_helo.lua для SMTP-сервера и занимался отслеживанием входящих команд HELO/EHLO, выявлением запросов с управляющего сервера и определением параметров запуска обратного shell. SEASPY представлял собой исполняемый файл BarracudaMailService, устанавливаемый в виде системного сервиса. Сервис использовал фильтр на базе PCAP для отслеживания трафика на 25 (SMTP) и 587 сетевых портах и активировал бэкдор при выявлении пакета со специальной последовательностью. 20 мая компания Barracuda выпустила обновление с исправлением уязвимости, которое 21 мая было доставлено на все устройства. 8 июня было объявлено, что обновления недостаточно и пользователям необходимо физически заменить скомпрометированные устройства. Пользователям также рекомендуется заменить все ключи доступа и учётные данные, которые пересекались с Barracuda ESG, например, в привязанных LDAP/AD и Barracuda Cloud Control. По предварительным данным в сети находится около 11 тысяч устройств ESG, использующих сервис Barracuda Networks Spam Firewall smtpd, который применяется в Email Security Gateway. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 18:49
Часовой пояс: UTC + 5