Les appliances Barracuda Email Security Gateway Appliances (ESG), autrement sécurisées, ont un problème : à la mi-mai 2023, Barracuda a identifié la vulnérabilité (CVE-2023-28681) sur leurs appliances, qui a été activement attaquée. Cependant, la mise à jour de sécurité existante n'est pas en mesure de fermer les portes dérobées créées par des logiciels malveillants. Barracuda recommande donc un remplacement immédiat du matériel.
Au départ, comme pour de nombreuses vulnérabilités découvertes, tout a commencé : le 18 mai 2023, Barracuda a été informé d'un trafic anormal provenant des appliances Barracuda Email Security Gateway (ESG). Dès le lendemain, Barracuda a identifié la vulnérabilité (CVE-2023-28681), qui était déjà activement exploitée. À peine 2 jours plus tard, Barracuda a déployé un correctif de sécurité pour corriger la vulnérabilité sur toutes les appliances ESG dans le monde. Malgré d'autres scripts et analyses de défense, de nombreuses appliances ESG ont été identifiées par des logiciels malveillants dans un court laps de temps, ce qui permet un accès permanent par porte dérobée. En outre, des indications d'exfiltration de données ont également été trouvées dans un sous-ensemble des appareils concernés.
Les appareils ESG doivent être remplacés
Les utilisateurs dont les appareils, selon Barracuda, ont été affectés ont été informés de l'action à entreprendre via l'interface utilisateur ESG. Barracuda a également contacté ces clients. Au cours de l'enquête, encore plus de clients ont pu être identifiés. Par conséquent, Barracuda informe les clients des appliances ESG concernées qu'elles doivent être remplacées immédiatement, quel que soit le niveau de version du correctif. Le support prend en charge les clients.
Barracuda décrit déjà en détail le malware identifié jusqu'à présent. Pour faciliter le suivi, le logiciel malveillant s'est vu attribuer des noms de code :
- SALTWATER est un module cheval de Troie pour le démon SMTP Barracuda (bsmtpd) qui contient une fonctionnalité de porte dérobée.
- SEASPY est une porte dérobée de persistance x64 ELF qui se fait passer pour un service légitime de Barracuda Networks et s'établit comme un filtre PCAP, surveillant spécifiquement le trafic sur le port 25 (SMTP) et le port 587. SEASPY contient une fonctionnalité de porte dérobée activée par un "paquet magique".
- SEASIDE est un module basé sur Lua pour le démon SMTP Barracuda (bsmtpd) qui écoute les commandes SMTP HELO/EHLO pour recevoir une adresse IP et un port de commande et de contrôle (C2), qu'il transmet en tant qu'arguments à un binaire externe qui configure un coque inversée.
À propos des réseaux Barracuda Barracuda s'efforce de rendre le monde plus sûr et estime que chaque entreprise devrait avoir accès à des solutions de sécurité à l'échelle de l'entreprise compatibles avec le cloud, faciles à acheter, à déployer et à utiliser. Barracuda protège les e-mails, les réseaux, les données et les applications avec des solutions innovantes qui évoluent et s'adaptent tout au long du parcours client. Plus de 150.000 XNUMX entreprises dans le monde font confiance à Barracuda pour se concentrer sur la croissance de leur activité. Pour plus d'informations, rendez-vous sur www.barracuda.com.