Barracuda a soudainement commencé à exhorter ses clients ESG à remplacer immédiatement les appareils
Récemment Réseaux Barracuda (une société qui fournit des produits de sécurité, de mise en réseau et de stockage basés sur des périphériques réseau et des services cloud) a révélé que n’a pas été en mesure de résoudre une panne etn leurs dispositifs ESG, pour lesquels demande aux clients de remplacer les appareilsmême si le matériel a été corrigé.
Il a annoncé la nécessité de remplacer physiquement les appareils ESG, ets parce qu’ils sont affectés par des logiciels malveillants à la suite d’une vulnérabilité de 0 jour dans le module de traitement des pièces jointes aux e-mails.
Les correctifs publiés précédemment ne seraient pas suffisants pour bloquer le problème d’installation et à ce sujet les détails n’ont pas été divulgués, mais la décision de remplacer le matériel est probablement due à une attaque de logiciels malveillants installés à un niveau bas et n’a pas pu être supprimée par clignotement ou réinitialisation d’usine.
L’avertissement du fournisseur intervient deux semaines après que Barracuda a initialement divulgué la vulnérabilité d’injection de commande à distance. suivi comme CVE-2023-2868. Une enquête de réponse aux incidents avec Mandiant a révélé qu’une exfiltration de données s’était produite et qu’un logiciel malveillant contenant une porte dérobée avait été installé sur certains appareils de passerelle de sécurité de messagerie (ESG). L’enquête a également révélé que la vulnérabilité 0 day était exploitée depuis octobre 2022.
Pour ceux d’entre vous qui ne connaissent pas les appliances ESG, sachez qu’il s’agit d’un ensemble de matériel et de logiciels pour protéger la messagerie professionnelle contre les attaques, les spams et les virus.
À propos du problème, il est signalé que l’analyse a montré que les appareils étaient compromis via une vulnérabilité non corrigée (CVE-2023-28681), qui permet même à un attaquant d’exécuter votre code en envoyant un e-mail spécialement conçu.
Le problème était dû à un manque de validation appropriée des noms de fichiers dans les archives tar envoyées dans les pièces jointes des e-mails et permettait à une commande arbitraire d’être exécutée sur un système élevé, empêchant l’échappement lors de l’exécution du code a via l’opérateur Perl “qx ” .
vulnérabilité est présent dans les appareils ESG fournis séparément avec les versions de firmware de 5.1.3.001 à 9.2.0.006 inclus. L’exploitation de la vulnérabilité a été suivie depuis octobre 2022 et jusqu’en mai 2023, le problème n’a pas été reconnu. Les attaquants ont utilisé la vulnérabilité pour installer plusieurs types de logiciels malveillants sur les passerelles : SALTWATER, SEASPY et SEASIDE, qui fournissent un accès externe à l’appareil et sont utilisés pour intercepter des données sensibles.
- La porte dérobée SALTWATER a été conçue comme un module mod_udp.so pour le processus SMTP bsmtpd et a permis de télécharger et d’exécuter des fichiers arbitraires sur le système, ainsi que d’envoyer des requêtes proxy et de canaliser le trafic vers un serveur externe. Pour prendre le contrôle de la porte dérobée, nous avons utilisé l’interception des appels système send, recv et close.
- Le composant malveillant SEASIDE a été écrit en Lua, installé en tant que module mod_require_helo.lua pour le serveur SMTP, et était responsable de la surveillance des commandes HELO/EHLO entrantes, de la détection des requêtes du serveur C&C et de la détermination des paramètres pour lancer le reverse shell.
- SEASPY était un exécutable BarracudaMailService installé en tant que service système. Le service a utilisé un filtre basé sur PCAP pour surveiller le trafic sur les ports réseau 25 (SMTP) et 587 et a déclenché une porte dérobée lorsqu’un paquet avec une séquence spéciale a été détecté.
Finalement, Barracuda encourage les utilisateurs à remplacer les clés d’accès et les informations d’identification qui ont croisé Barracuda ESG, comme ceux associés à LDAP/AD et Barracuda Cloud Control. Selon les données préliminaires, environ 11 000 appareils ESG sur le réseau utilisent le service smtpd de Barracuda Networks Spam Firewall, qui est utilisé dans Email Security Gateway.
Concernant le remplacement des appareils, l’équipe mentionne que set effectuera gratuitement, mais l’indemnisation des frais de livraison et de remplacement n’est pas précisée. Si vous souhaitez en savoir plus à ce sujet, vous pouvez consulter les détails dans le lien suivant.
