Barracuda repentinamente comenzó a instar a sus clientes de ESG reemplazar de inmediato los dispositivos
Hace poco Barracuda Networks (una empresa que ofrece productos de seguridad, redes y almacenamiento basados en dispositivos de red y servicios en la nube) dio a conocer que se ha visto incapacitado de poder solucionar un fallo en sus dispositivos ESG, por lo cual pide a sus clientes reemplazar los dispositivos, incluso si el hardware ha sido parcheado.
El anunció de la necesidad de reemplazar físicamente los dispositivos ESG, es debido a que estos son afectados por malware como resultado de una vulnerabilidad 0 day en el módulo de procesamiento de archivos adjuntos de correo electrónico.
Se informa que los parches lanzados anteriormente no son suficientes para bloquear el problema de instalación y sobre ello no se han revelado los detalles, pero la decisión de reemplazar el hardware se debe presumiblemente a un ataque instaló malware a un nivel bajo y no se pudo eliminar mediante flasheo o restablecimiento de fábrica.
La advertencia del proveedor llega dos semanas después de que Barracuda revelara inicialmente la vulnerabilidad de inyección de comando remoto rastreada como CVE-2023-2868. Una investigación de respuesta a incidentes con Mandiant reveló que se había producido la exfiltración de datos y que se había instalado malware que contenía una backdoor en algunos dispositivos de puerta de enlace de seguridad de correo electrónico (ESG). La investigación también encontró que la vulnerabilidad 0 day había sido explotado desde octubre de 2022.
Para quienes desconocen de los dispositivos ESG, deben saber que es un paquete de hardware y software para proteger el correo electrónico empresarial de ataques, spam y virus.
Sobre el problema, se informa que el análisis mostró que los dispositivos se vieron comprometidos mediante una vulnerabilidad sin parches (CVE-2023-28681), que le permite aún atacante el poder ejecutar su código mediante el envío de un correo electrónico especialmente diseñado.
El problema se debió a la falta de una validación adecuada de los nombres de archivo dentro de los archivos tar enviados en archivos adjuntos de correo electrónico, y permitió que se ejecutara un comando arbitrario en un sistema elevado, evitando el escape al ejecutar el código a través del operador Perl «qx » .
La vulnerabilidad está presente en dispositivos ESG suministrados por separado con versiones de firmware de 5.1.3.001 a 9.2.0.006 inclusive. La explotación de la vulnerabilidad se ha rastreado desde octubre de 2022 y hasta mayo de 2023 el problema pasó desapercibido. Los atacantes utilizaron la vulnerabilidad para instalar varios tipos de malware en las puertas de enlace: SALTWATER, SEASPY y SEASIDE, que brindan acceso externo al dispositivo y se utilizan para interceptar datos confidenciales.
- El backdoor SALTWATER se diseñó como un módulo mod_udp.so para el proceso bsmtpd SMTP y permitía cargar y ejecutar archivos arbitrarios en el sistema, así como enviar solicitudes de proxy y canalizar el tráfico a un servidor externo. Para ganar control en el backdoor se utilizó la intercepción de las llamadas al sistema send, recv y close.
- El componente malicioso SEASIDE se escribió en Lua, se instaló como un módulo mod_require_helo.lua para el servidor SMTP y era responsable de monitorear los comandos HELO/EHLO entrantes, detectar solicitudes del servidor C&C y determinar parámetros para iniciar el shell inverso.
- SEASPY era un ejecutable de BarracudaMailService instalado como servicio del sistema. El servicio utilizó un filtro basado en PCAP para monitorear el tráfico en los puertos de red 25 (SMTP) y 587 y activó un backdooor cuando se detectó un paquete con una secuencia especial.
Finalmente, Barracuda alienta a los usuarios a reemplazar las claves de acceso y las credenciales que se hayan cruzado con Barracuda ESG, como las asociadas con LDAP/AD y Barracuda Cloud Control. Según datos preliminares, hay alrededor de 11 000 dispositivos ESG en la red que utilizan el servicio smtpd de Barracuda Networks Spam Firewall, que se utiliza en Email Security Gateway.
Sobre el reemplazo de los dispositivos, el equipo menciona que se realizara sin cargo, pero no se especifica la compensación por el costo de la entrega y el trabajo de reemplazo. Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
