Hackeři využívají zero-day chybu v zařízeních Email Security Gateway společnosti Barracuda již 7 měsíců
31. 05. 2023
Hackeři využívají zero-day chybu v zařízeních Email Security Gateway společnosti Barracuda již 7 měsíců
Podniková bezpečnostní firma Barracuda v úterý odhalila, že nedávno opravená chyba zero-day v jejích zařízeních Email Security Gateway (ESG) byla od října 2022 zneužita aktéry hrozeb k backdooru zařízení.
Nejnovější zjištění ukazují, že kritická zranitelnost, sledovaná jako CVE-2023-2868 (CVSS skóre: N/A), byla aktivně využívána po dobu nejméně sedmi měsíců před jejím objevením.
Chyba, kterou Barracuda identifikovala 19. května 2023, se týká verzí 5.1.3.001 až 9.2.0.006 a mohla by umožnit vzdálenému útočníkovi dosáhnout spuštění kódu na citlivých instalacích. Patche vydala Barracuda 20. května a 21. května.
"CVE-2023-2868 bylo použito k získání neoprávněného přístupu k podmnožině zařízení ESG," uvedla společnost pro zabezpečení sítě a e-mailu v aktualizovaném doporučení.
"Malware byl identifikován na podmnožině zařízení umožňujících trvalý přístup zadními vrátky. Důkazy o exfiltraci dat byly identifikovány na podmnožině zasažených zařízení."
Dosud byly objeveny tři různé kmeny malwaru –
SALTWATER – Trojanizovaný modul pro démona Barracuda SMTP (bsmtpd), který je vybaven k nahrávání nebo stahování libovolných souborů, provádění příkazů, stejně jako proxy a tunelování škodlivého provozu, aby mohl létat pod radarem.
SEASPY – zadní vrátka x64 ELF, která nabízí schopnosti persistence a aktivuje se pomocí magického paketu.
SEASIDE – Modul založený na Lua pro bsmtpd vytváří reverzní shelly pomocí příkazů SMTP HELO/EHLO odeslaných přes server příkazů a řízení (C2) malwaru.
Podle společnosti Mandiant vlastněné společností Google, která incident vyšetřuje, byly mezi SEASPY a open source backdoorem s názvem cd00r identifikovány překryvy zdrojového kódu. Útoky nebyly připsány žádné známé skupině.
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) minulý týden také přidala chybu do svého katalogu Known Exploited Vulnerabilities (KEV) a vyzvala federální agentury, aby opravy provedly do 16. června 2023.
Barracuda nezveřejnila, kolik organizací bylo narušeno, ale poznamenala, že byly přímo kontaktovány s pokyny ke zmírnění hrozby. Rovněž varovala, že probíhající sonda může odhalit další uživatele, kteří mohli být postiženi.
zdroj:thehackernews.com
