.
Uma vulnerabilidade crítica corrigida há 10 dias em um software de e-mail amplamente usado da empresa de segurança de TI Barracuda Networks está sob exploração ativa desde outubro. A vulnerabilidade foi usada para instalar vários malwares dentro de redes de grandes organizações e roubar dados, disse Barracuda na terça-feira.
O bug de software, rastreado como CVE-2023-2868, é uma vulnerabilidade de injeção de comando remoto que decorre da validação incompleta de entrada de arquivos .tar fornecidos pelo usuário, que são usados para compactar ou arquivar vários arquivos. Quando os nomes de arquivo são formatados de uma maneira específica, um invasor pode executar comandos do sistema por meio do operador QX, uma função na linguagem de programação Perl que lida com aspas. A vulnerabilidade está presente nas versões 5.1.3.001 a 9.2.0.006 do Barracuda Email Security Gateway; Barracuda lançou um patch 10 dias atrás.
Na terça-feira, o Barracuda notificou os clientes de que o CVE-2023-2868 está sob exploração ativa desde outubro em ataques que permitiram que os agentes de ameaças instalassem vários malwares para uso na exfiltração de dados confidenciais das redes infectadas.
“Os usuários cujos aparelhos acreditamos que foram afetados foram notificados por meio da interface de usuário do ESG sobre as ações a serem tomadas”, afirmou o aviso de terça-feira. “A Barracuda também atendeu a esses clientes específicos. Clientes adicionais podem ser identificados no decorrer da investigação”.
O malware identificado até o momento inclui pacotes rastreados como Saltwater, Seaside e Seaspy. Saltwater é um módulo malicioso para o daemon SMTP (bsmtpd) que o Barracuda ESG usa. O módulo contém a funcionalidade backdoor que inclui a capacidade de fazer upload ou download de arquivos arbitrários, executar comandos e fornecer recursos de proxy e tunelamento.
Seaside é um executável x64 em ELF (formato executável e vinculável), que armazena binários, bibliotecas e dumps de núcleo em discos em sistemas baseados em Linux e Unix. Ele fornece um backdoor persistente que se apresenta como um serviço legítimo da Barracuda Networks e se estabelece como um filtro PCAP para capturar pacotes de dados que fluem por uma rede e realizar várias operações. O Seaside monitora o rastreamento na porta 25, que é usada para e-mail baseado em SMTP.
Ele pode ser ativado usando um “pacote mágico” que é conhecido apenas pelo invasor, mas parece inócuo para todos os outros. A Mandiant, empresa de segurança contratada pela Barracuda para investigar os ataques, disse ter encontrado um código no Seaspy que se sobrepõe ao backdoor cd00r disponível publicamente.
Seaside, por sua vez, é um módulo para o Barracuda SMTP daemon (bsmtpd) que monitora comandos, incluindo SMTP HELO/EHLO para receber um comando e controlar endereço IP e porta para estabelecer um shell reverso.
O aviso de terça-feira inclui hashes criptográficos, endereços IP, localizações de arquivos e outros indicadores de comprometimento associados à exploração do CVE-2023-2868 e à instalação do malware. Os funcionários da empresa também instaram todos os clientes afetados a tomar as seguintes ações:
- Certifique-se de que seu dispositivo ESG esteja recebendo e aplicando atualizações, definições e patches de segurança da Barracuda. Entre em contato com o suporte da Barracuda (support@barracuda.com) para validar se o dispositivo está atualizado.
- Interrompa o uso do dispositivo ESG comprometido e entre em contato com o suporte da Barracuda (support@barracuda.com) para obter um novo dispositivo ESG virtual ou de hardware.
- Gire todas as credenciais aplicáveis conectadas ao dispositivo ESG:
o Qualquer LDAP/AD conectado
o Barracuda Cloud Control
o Servidor FTP
o SMB
o Qualquer certificado TLS privado- Revise seus logs de rede para qualquer um dos [indicators of compromise] e quaisquer IPs desconhecidos. Entre em contato com compliance@barracuda.com se algum for identificado.
A Agência de Segurança Cibernética e Infraestrutura adicionou o CVE-2023-2868 à sua lista de vulnerabilidades exploradas conhecidas na sexta-feira.
.
