Os dispositivos Barracuda Email Security Gateway Appliances (ESG) seguros têm um problema: em meados de maio de 2023, o Barracuda identificou a vulnerabilidade (CVE-2023-28681) em seus dispositivos, que foi atacado ativamente. No entanto, a atualização de segurança existente não é capaz de fechar backdoors criados por malware. A Barracuda, portanto, recomenda a substituição imediata do hardware.
Inicialmente, como com muitas vulnerabilidades encontradas, tudo começou: Em 18 de maio de 2023, a Barracuda foi informada sobre um tráfego anômalo originário dos appliances Barracuda Email Security Gateway (ESG). No dia seguinte, o Barracuda identificou a vulnerabilidade (CVE-2023-28681), que já estava sendo explorada ativamente. Apenas 2 dias depois, a Barracuda implantou um patch de segurança para corrigir a vulnerabilidade em todos os dispositivos ESG em todo o mundo. Apesar de mais scripts e análises de defesa, muitos dispositivos ESG foram identificados por malware no curto período de tempo, o que permite acesso backdoor permanente. Além disso, também foram encontradas indicações de exfiltração de dados em um subconjunto dos dispositivos afetados.
Os aparelhos ESG precisam ser substituídos
Os usuários cujos dispositivos a Barracuda acredita terem sido afetados foram notificados sobre a ação a ser tomada por meio da interface de usuário do ESG. A Barracuda também procurou esses clientes. No decorrer da investigação, ainda mais clientes puderam ser identificados. Portanto, a Barracuda está informando aos clientes dos appliances ESG afetados que eles devem ser substituídos imediatamente, independentemente do nível de versão do patch. O suporte dá suporte aos clientes.
Barracuda já descreve o malware identificado até agora em detalhes. Para facilitar o rastreamento, o malware recebeu nomes de código:
- SALTWATER é um módulo trojanizado para o daemon Barracuda SMTP (bsmtpd) que contém a funcionalidade backdoor.
- SEASPY é um backdoor de persistência x64 ELF que se disfarça como um serviço legítimo da Barracuda Networks e se estabelece como um filtro PCAP, monitorando especificamente o tráfego na porta 25 (SMTP) e na porta 587. O SEASPY contém um recurso backdoor ativado por um "pacote mágico".
- SEASIDE é um módulo baseado em Lua para o Barracuda SMTP Daemon (bsmtpd) que escuta os comandos SMTP HELO/EHLO para receber um endereço IP e porta de Comando e Controle (C2), que passa como argumentos para um binário externo que configura um escudo reverso.
Sobre a Barracuda Networks A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.