Le altrimenti sicure Barracuda Email Security Gateway Appliances (ESG) hanno un problema: a metà maggio 2023, Barracuda ha identificato la vulnerabilità (CVE-2023-28681) sulle proprie appliance, che è stata attivamente attaccata. Tuttavia, l'aggiornamento della sicurezza esistente non è in grado di chiudere le backdoor create dal malware. Barracuda consiglia quindi l'immediata sostituzione dell'hardware.
Inizialmente, come per molte vulnerabilità rilevate, tutto è iniziato: il 18 maggio 2023, Barracuda è stata informata del traffico anomalo proveniente dalle appliance Barracuda Email Security Gateway (ESG). Il giorno successivo, Barracuda ha identificato la vulnerabilità (CVE-2023-28681), che era già stata attivamente sfruttata. Solo 2 giorni dopo, Barracuda ha implementato una patch di sicurezza per correggere la vulnerabilità su tutte le appliance ESG in tutto il mondo. Nonostante ulteriori script e analisi di difesa, molte appliance ESG sono state identificate da malware nel breve periodo di tempo, il che consente un accesso backdoor permanente. Inoltre, sono state trovate indicazioni di esfiltrazione di dati anche in un sottoinsieme dei dispositivi interessati.
Gli elettrodomestici ESG devono essere sostituiti
Gli utenti i cui dispositivi Barracuda ritiene siano stati interessati sono stati informati dell'azione da intraprendere tramite l'interfaccia utente ESG. Barracuda ha contattato anche questi clienti. Nel corso delle indagini è stato possibile identificare ancora più clienti. Pertanto, Barracuda sta informando i clienti delle appliance ESG interessate che devono essere sostituite immediatamente, indipendentemente dal livello di versione della patch. Il supporto supporta i clienti.
Barracuda descrive già nel dettaglio i malware individuati finora. Per facilitare il tracciamento, al malware sono stati assegnati nomi in codice:
- SALTWATER è un modulo trojanizzato per il demone Barracuda SMTP (bsmtpd) che contiene funzionalità backdoor.
- SEASPY è una backdoor di persistenza ELF x64 che si maschera da servizio legittimo di Barracuda Networks e si afferma come filtro PCAP, monitorando in particolare il traffico sulla porta 25 (SMTP) e sulla porta 587. SEASPY contiene una funzione backdoor attivata da un "pacchetto magico".
- SEASIDE è un modulo basato su Lua per Barracuda SMTP Daemon (bsmtpd) che ascolta i comandi SMTP HELO/EHLO per ricevere un indirizzo IP e una porta Command and Control (C2), che passa come argomenti a un binario esterno che imposta un guscio inverso.
Informazioni sulle reti Barracuda Barracuda si impegna a rendere il mondo un luogo più sicuro e ritiene che ogni azienda debba avere accesso a soluzioni di sicurezza a livello aziendale abilitate per il cloud, facili da acquistare, implementare e utilizzare. Barracuda protegge e-mail, reti, dati e applicazioni con soluzioni innovative che crescono e si adattano lungo il percorso del cliente. Più di 150.000 aziende in tutto il mondo si affidano a Barracuda per concentrarsi sulla crescita del proprio business. Per ulteriori informazioni, visitare www.barracuda.com.