Los dispositivos de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda tienen un problema: a mediados de mayo de 2023, Barracuda identificó la vulnerabilidad (CVE-2023-28681) en sus dispositivos, que fue atacada activamente. Sin embargo, la actualización de seguridad existente no puede cerrar puertas traseras creadas por malware. Por lo tanto, Barracuda recomienda el reemplazo inmediato del hardware.
Inicialmente, al igual que con muchas vulnerabilidades encontradas, todo comenzó: el 18 de mayo de 2023, Barracuda se enteró del tráfico anómalo que se originaba en los dispositivos Barracuda Email Security Gateway (ESG). Al día siguiente, Barracuda identificó la vulnerabilidad (CVE-2023-28681), que ya estaba siendo explotada activamente. Solo 2 días después, Barracuda implementó un parche de seguridad para corregir la vulnerabilidad en todos los dispositivos ESG en todo el mundo. A pesar de más secuencias de comandos y análisis de defensa, muchos dispositivos ESG fueron identificados por malware en un corto período de tiempo, lo que permite el acceso permanente de puerta trasera. Además, también se encontraron indicios de exfiltración de datos en un subconjunto de los dispositivos afectados.
Los electrodomésticos ESG necesitan ser reemplazados
Los usuarios cuyos dispositivos Barracuda cree que se vieron afectados han sido notificados de la acción a realizar a través de la interfaz de usuario de ESG. Barracuda también se acercó a estos clientes. En el curso de la investigación, se pudieron identificar incluso más clientes. Por lo tanto, Barracuda informa a los clientes de los dispositivos ESG afectados que deben reemplazarse de inmediato, independientemente del nivel de versión del parche. El soporte apoya a los clientes.
Barracuda ya describe en detalle el malware identificado hasta ahora. Para facilitar el seguimiento, al malware se le asignaron nombres en clave:
- SALTWATER es un módulo troyano para el demonio Barracuda SMTP (bsmtpd) que contiene funcionalidad de puerta trasera.
- SEASPY es una puerta trasera de persistencia ELF x64 que se hace pasar por un servicio legítimo de Barracuda Networks y se establece como un filtro PCAP, específicamente monitoreando el tráfico en el puerto 25 (SMTP) y el puerto 587. SEASPY contiene una función de puerta trasera activada por un "paquete mágico".
- SEASIDE es un módulo basado en Lua para Barracuda SMTP Daemon (bsmtpd) que escucha los comandos SMTP HELO/EHLO para recibir una dirección IP y un puerto de Comando y Control (C2), que pasa como argumentos a un binario externo que configura un cáscara inversa.
Acerca de Barracuda Networks Barracuda se esfuerza por hacer del mundo un lugar más seguro y cree que todas las empresas deben tener acceso a soluciones de seguridad para toda la empresa habilitadas para la nube que sean fáciles de comprar, implementar y usar. Barracuda protege el correo electrónico, las redes, los datos y las aplicaciones con soluciones innovadoras que crecen y se adaptan a lo largo del viaje del cliente. Más de 150.000 XNUMX empresas en todo el mundo confían en Barracuda para poder concentrarse en hacer crecer su negocio. Para obtener más información, visite www.barracuda.com.