Nulladik napi sebezhetőséggel törtek fel Barracuda ESG-t használó szervezeteket

A hálózati biztonsági megoldásokat kínáló Barracuda figyelmeztette ügyfeleit, hogy egyes fenyegető szereplők a közelmúltban sikeres támadásokat hajtottak végre sérülékeny ESG-k (Email Security Gateway) ellen, egy mostanra javított, kritikus nulladik napi sebezhetőséget kihasználva.

A CVE-2023-2868 néven nyomon követett sebezhetőség az e-mail mellékletek átvizsgálására szolgáló modulban található. A problémát május 19-én fedezték fel, és a vállalat május 20-án és 21-én azt két biztonsági javítás kiadásával orvosolta.

A sebezhetőségnek jelentős hatása lehet, ugyanis az érintett eszközöket világszerte több százezer szervezet használja, köztük számos nagynevű vállalattal. A Barracuda az ESG felhasználói felületén keresztül értesítette azokat az ügyfeleket, akiknek a készülékei szerintük érintettek. (A sebezhetőség nem érinti a Barracuda más termékeit.)

A gyártói biztonsági közlemény a sebezhetőség aktív kihasználására is kitér, eszerint három malware családot azonosítottak az érintett rendszereken:

  • SALTWATER – Barracuda SMTP daemon (bsmtpd) trójai, ami tetszőleges fájlok fel és letöltését teheti lehetővé.
  • SEASPY – Egy ELF backdoor, ami perzisztenciát biztosít a támadónak.
  • SEASIDE – Egy Lua alapú bsmtpd modul, ami reverse shellként használható.

A sebezhetőséget a CISA is hozzáadta a KEVC (Known Exploited Vulnerabilities Catalog) nyilvántartáshoz, ezzel kötelezővé téve a hibajavítás telepítését a felügyelete alatt álló szövetségi intézmények számára.

Barracuda ESG-t használó szervezetek számára javasolt az aktuális verziószám és a hálózati infrastruktúra ellenőrzése.

(securityaffairs.com)

Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán:

CVE-2023-2868

Fertőzésre utaló indikátorok (IoC-k):

SALTWATER

Name SHA256
mod_udp.so 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4
MD5 File Type Size (Bytes)
827d507aa3bde0ef903ca5dec60cdec8 ELF x86 1,879,643

SEASPY

Name SHA256
BarracudaMailService 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115
MD5 File Type Size (Bytes)
4ca4f582418b2cc0626700511a6315c0 ELF x64 2,924,217

SEASIDE

Name SHA256
mod_require_helo.lua fa8996766ae347ddcbbd1818fe3a878272653601a347d76ea3d5dfc227cd0bc8
MD5 File Type Size (Bytes)
cd2813f0260d63ad5adf0446253c2172 Lua module 2,724