Más vale tarde que nunca. Barracuda anunció la corrección de una vulnerabilidad de día cero cuya primera evidencia de explotación se remonta a octubre de 2022. La falla, CVE-2023-2868, afecta a los dispositivos Email Security Gateway (ESG) en las versiones 5.1.3.001-9.2.0.006. Fue identificado el 19 de mayo y permite la inyección remota de comandos. Se basa en una validación incompleta de las entradas del archivo .tar.

Índice
  1. Alerta el 19 de mayo, pero explotación desde hace 8 meses
  2. Varios malware en la campaña

Alerta el 19 de mayo, pero explotación desde hace 8 meses

El proveedor fue alertado sobre un tráfico anormal procedente de sus dispositivos ESG. La vulnerabilidad existía en un módulo que inicialmente filtra los archivos adjuntos de los correos electrónicos entrantes. El 20 de mayo se aplicó un parche de seguridad a todo el parque de electrodomésticos. “El 21 de mayo de 2023, se implementó un script en todos los dispositivos afectados para contener el incidente y contrarrestar los métodos de acceso no autorizados. Se están implementando una serie de parches de seguridad en todos los dispositivos como parte de nuestra estrategia de contención”, dijo la compañía.

Los análisis iniciales muestran que la explotación de la vulnerabilidad se identificó en octubre de 2022. La infracción permitió el acceso no autorizado a un subconjunto de ESG. Barracuda señala que “se detectó malware en este grupo de dispositivos con acceso persistente establecido por una puerta trasera”. Añade que “se han observado pruebas de filtración de datos en este grupo”. Se ha contactado a los clientes afectados.

Varios malware en la campaña

Se han utilizado varios programas maliciosos para aprovechar la vulnerabilidad. Barracuda desplegó a Mandiant para investigar estos malware, así como los vínculos que tienen con todas las puertas traseras conocidas. Por ejemplo, Saltwater es un módulo troyanizado para el demonio SMTP de Barracuda (bsmtpd) que contiene funcionalidad de puerta trasera. De agua salada. Esto incluye la capacidad de cargar o descargar archivos arbitrarios y ejecutar comandos, así como capacidades de proxy y túnel, dijo la compañía. "La puerta trasera se implementa mediante ganchos en las llamadas al sistema de envío, recepción y cierre y se reduce a cinco componentes, la mayoría de los cuales se denominan 'Canales' en binario", dijo la compañía. Los cinco canales son DownloadChannel, UploadChannel, ProxyChannel, ShellChannel y TunnelArgs.

Otro malware incluye SeaSpy. Es persistente y se puede activar mediante un código específico. "Monitorea el tráfico del puerto 25 (SMTP) y parte de su código se superpone con el de la versión pública de la serie de malware SeaSpy", continúa el proveedor. De manera similar, los ciberdelincuentes también utilizaron un módulo Lua llamado Seaside para el demonio SMTP Barracuda que monitorea los comandos SMTP HELO/EHLO para recibir una dirección IP y un puerto de comando y control que pasa como argumentos a un binario externo que establece un shell inverso, dijo la compañía.