В мае 2023 года в продуктах компании Barracuda Networks исправили 0-day уязвимость CVE-2023-2868, которой хакеры пользовались более полугода. Хотя в итоге для проблемы были выпущены исправления, теперь производитель неожиданно заявил, что клиентам следует прекратить использование взломанных Email Security Gateway (ESG) и заменить их, даже если они получили патчи.
Информация о критической RCE-уязвимости CVE-2023-2868 (9,8 балла по шкале CVSS) появилась в середине мая текущего года. Тогда сообщалось, что проблема затрагивает версии с 5.1.3.001 по 9.2.0.006 и позволяет удаленному злоумышленнику выполнить произвольный код.
«Уязвимость возникает вследствие недостаточно всесторонней проверки при обработке .tar-файлов (ленточных архивов), — сообщалось в мае. — Уязвимость возникает из-за недостаточной проверки предоставленного пользователем .tar-файла, а именно имен файлов, содержащихся в архиве. Как следствие, удаленный злоумышленник может отформатировать имена этих файлов определенным образом, что приведет к удаленному выполнению системной команды через Perl qx с привилегиями Email Security Gateway».
В итоге патчи для этой проблемы были выпущены 20 и 21 мая 2023 года, однако Barracuda Networks, продуктами которой пользуются более 200 000 клиентов по всему миру, включая Samsung, Delta Airlines, Mitsubishi и Kraft Heinz, предупредила, что уязвимость использовалась злоумышленниками в атаках с октября 2022 года.
«На ряде устройств было обнаружено вредоносное ПО, позволяющее установить постоянный доступ через бэкдор. Также на некоторых устройствах обнаружены признаки утечки данных», — сообщал производитель.
Тогда эксперты заявили, что с эксплуатацией уязвимость CVE-2023-2868 оказались связаны три образца малвари:
- SALTWATER — троянизированный модуль для демона Barracuda SMTP (bsmtpd), способный загружать и скачивать произвольные файлы, выполнять команды, а также проксировать и туннелировать вредоносный трафик для большей скрытности;
- SEASPY — бэкдор в формате ELF x64, способный закрепиться в системе и активируемый с помощью magic-пакета;
- SEASIDE — модуль на основе Lua для bsmtpd, устанавливающий реверс-шеллы посредством команд SMTP HELO/EHLO, получаемых через C&C-сервер вредоносной программы.
На этой неделе производитель выпустил новое заявление, неожиданно сообщив, что все клиенты, которые пострадали из-за недавно обнаруженной уязвимости, должны немедленно прекратить использование взломанных Email Security Gateway (ESG) и заменить их.
«Все пострадавшие устройства ESG должны быть немедленно заменены независимо от версии установленного исправления», — сообщают в компании, добавляя, что теперь рекомендация по исправлению проблемы заключаются «в полной замене затронутого ESG».
В компании не сообщают, что послужило причиной для этого заявления и таких радикальных мер. Можно предположить, что злоумышленникам, стоящим за недавно обнаруженными атаками, удалось внедриться в прошивку ESG на более глубоком уровне, и патчи попросту не могут полностью устранить угрозу.
По информации Barracuda, пострадавших клиентов уже уведомили через пользовательский интерфейс ESG. Клиентам, которые еще не успели заменить свои устройства, настоятельно рекомендуется срочно связаться со службой поддержки по электронной почте.