Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers exploram falha de dia zero do Barracuda desde 2023 para instalar malware

A Barracuda Networks, que atualmente é propriedade da KKR (Kohlberg Kravis Roberts & Co.), anunciou que enfrentou um ataque cibernético no qual uma falha Zero Day foi explorada e os atores da ameaça extraíram dados.

A primeira identificação deste ataque remonta a outubro de 2022.

A falha existia em seus Gateway de segurança de e-mail (ESG) utensílio. A empresa trabalhou em estreita colaboração com especialistas em segurança cibernética da Mandiant para investigar esse problema.

A vulnerabilidade foi identificada como sendo CVE-2023-2868e um patch foi aplicado a todos os dispositivos ESG em todo o mundo.

CVE-2023-2868: Vulnerabilidade de injeção de comando remoto

Esta vulnerabilidade existe devido ao processamento, validação e limpeza inadequados dos nomes dos arquivos no arquivo .tar fornecido pelo usuário.

Um invasor pode explorar isso enviando um nome de arquivo especialmente criado de uma maneira especificada, resultando na execução remota de comandos no sistema por meio do operador qx do Perl dentro do produto Email Security Gateway (ESG).

Produtos afetados

Produtos Versões
Aplicativo de gateway de segurança de e-mail 5.1.3.001-9.2.00,006

Implantação de malware usando dia zero

Houve três malwares implantados pelos agentes da ameaça usando o Barracuda Email Security Gateway Appliance.

ÁGUA SALGADA – Malware trojanizado para upload ou download de arquivos arbitrários, execução de comandos, proxy e tunelamento. Ele usa cinco canais para estas funcionalidades: UploadChannel, DownloadChannel, ProxyChannel, TunnelArgs e ShellChannel.

MARAVILHOSO – Backdoor persistente que parece um serviço legítimo da Barracuda Networks, estabelecendo-se como um filtro PCAP. Ele monitora o tráfego da porta 25 (SMTP) e contém a funcionalidade backdoor.

A análise da Mandiant afirmou que o código poderia se sobrepor entre o SEASPY e o cd00r, um backdoor disponível publicamente.

Nós recomendamos:  Windows 11 O plano de fundo continua mudando automaticamente? Experimente essas correções!

BEIRA MAR – Módulo baseado em Lua que monitora comandos SMTP HELO/EHLO usados ​​para receber endereço IP e porta de comando e controle (C2). Ele cria um shell reverso enviando as informações como argumentos para uma biblioteca externa.

Módulo Nome SHA256
ÁGUA SALGADA mod_up.so 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4
MARAVILHOSO BarracudaMailService 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115
BEIRA MAR mod_require_helo.lua fa8996766ae347ddcbbd1818fe3a878272653601a347d76ea3d5dfc227cd0bc8
Módulo MD5 Tipo de arquivo Tamanho (bytes)
ÁGUA SALGADA 827d507aa3bde0ef903ca5dec60cdec8 ELFO x86 1.879.643
MARAVILHOSO 4ca4f582418b2cc0626700511a6315c0 ELFO x64 2.924.217
BEIRA MAR cd2813f0260d63ad5adf0446253c2172 Módulo Lua 2,724

Barracuda também forneceu Indicadores de compromisso, IOCs de rede e regras YARA para detectar este malware.

A Barracuda Networks disse: “Tomamos medidas imediatas para investigar esta vulnerabilidade.

Nossa investigação revelou que a vulnerabilidade resultou no acesso não autorizado a vários dispositivos de gateway de e-mail. Como parte da nossa estratégia de contenção, todos os dispositivos ESG receberam um segundo patch em 21 de maio de 2023.”

A empresa também confirmou que nenhum outro produto Barracuda foi afetado devido a esta vulnerabilidade, incluindo o Segurança de e-mail SaaS Serviços.

Eles lançaram patches para corrigir esta vulnerabilidade como parte do BNSF-36456 em 20 de maio de 2023.