У безпечних пристроїв Barracuda Email Security Gateway (ESG) виникла проблема: у середині травня 2023 року Barracuda виявила вразливість (CVE-2023-28681) у своїх пристроях, на яку активно атакували. Однак наявне оновлення безпеки не може закрити бекдори, створені зловмисним програмним забезпеченням. Тому Barracuda рекомендує негайну заміну обладнання.
Спочатку, як і з багатьма знайденими вразливими місцями, все почалося: 18 травня 2023 року Barracuda дізналася про аномальний трафік, що надходить від пристроїв Barracuda Email Security Gateway (ESG). Вже наступного дня Barracuda виявила вразливість (CVE-2023-28681), яку вже активно використовували. Лише через 2 дні Barracuda розгорнула патч безпеки, щоб усунути вразливість на всіх пристроях ESG у всьому світі. Незважаючи на подальші сценарії захисту та аналізи, багато пристроїв ESG було ідентифіковано шкідливим програмним забезпеченням за короткий проміжок часу, що забезпечує постійний бекдор-доступ. Крім того, ознаки викрадання даних також були виявлені в підмножині постраждалих пристроїв.
Необхідно замінити прилади ESG
Користувачі, чиї пристрої, на думку Barracuda, постраждали, отримали сповіщення про дії, які необхідно виконати через інтерфейс користувача ESG. Barracuda також звернулася до цих клієнтів. У ході розслідування вдалося встановити ще більше клієнтів. Таким чином, Barracuda інформує клієнтів постраждалих пристроїв ESG, що їх необхідно негайно замінити, незалежно від рівня версії виправлення. Служба підтримки підтримує клієнтів.
Barracuda вже детально описує виявлені шкідливі програми. Для полегшення відстеження шкідливій програмі було присвоєно кодові назви:
- SALTWATER — це троянський модуль для демона SMTP Barracuda (bsmtpd), який містить функції бекдору.
- SEASPY — це постійний бекдор x64 ELF, який маскується під законну службу Barracuda Networks і затверджується як фільтр PCAP, зокрема відстежуючи трафік на портах 25 (SMTP) і 587. SEASPY містить функцію бекдору, активовану «чарівним пакетом».
- SEASIDE — це модуль на основі Lua для демона SMTP Barracuda (bsmtpd), який прослуховує команди SMTP HELO/EHLO, щоб отримати IP-адресу та порт команди та керування (C2), які він передає як аргументи зовнішньому двійковому файлу, який встановлює зворотна оболонка.
Про Barracuda Networks Barracuda прагне зробити світ безпечнішим і вважає, що кожен бізнес повинен мати доступ до хмарних рішень безпеки для всього підприємства, які легко придбати, розгорнути та використовувати. Barracuda захищає електронну пошту, мережі, дані та програми за допомогою інноваційних рішень, які розвиваються та адаптуються на шляху клієнта. Понад 150.000 XNUMX компаній у всьому світі довіряють Barracuda, щоб вони могли зосередитися на розвитку свого бізнесу. Для отримання додаткової інформації відвідайте www.barracuda.com.