Una vulnerabilidad crítica parcheada hace 10 días en el software de correo electrónico ampliamente utilizado de la empresa de seguridad de TI Barracuda Networks ha estado bajo explotación activa desde octubre. La vulnerabilidad se ha utilizado para instalar múltiples piezas de malware dentro de las redes de grandes organizaciones y robar datos, dijo Barracuda el martes.
El error de software, rastreado como CVE-2023-2868, es una vulnerabilidad de inyección de comando remoto que se deriva de la validación de entrada incompleta de los archivos .tar proporcionados por el usuario, que se utilizan para empaquetar o archivar varios archivos. Cuando los nombres de los archivos tienen un formato particular, un atacante puede ejecutar comandos del sistema a través del operador QX, una función en el lenguaje de programación Perl que maneja las comillas. La vulnerabilidad está presente en Barracuda Email Security Gateway, versiones 5.1.3.001 a 9.2.0.006; Barracuda emitió un parche
El martes, Barracuda clientes notificados que CVE-2023-2868 ha estado bajo explotación activa desde octubre en ataques que permitieron a los actores de amenazas instalar múltiples piezas de malware para usar en la extracción de datos confidenciales de las redes infectadas.
“Los usuarios cuyos dispositivos creemos que se vieron afectados han sido notificados a través de la interfaz de usuario de ESG sobre las acciones a tomar”, decía el aviso del martes. “Barracuda también se ha acercado a estos clientes específicos. Es posible que se identifiquen clientes adicionales en el curso de la investigación”.
El malware identificado hasta la fecha incluye paquetes rastreados como Saltwater, Seaside y Seaspy. Saltwater es un módulo malicioso para el demonio SMTP (bsmtpd) que utiliza Barracuda ESG. El módulo contiene una funcionalidad de puerta trasera que incluye la capacidad de cargar o descargar archivos arbitrarios, ejecutar comandos y proporcionar capacidades de túnel y proxy.
Seaside es un ejecutable x64 en ELF (formato ejecutable y enlazable), que almacena binarios, bibliotecas y volcados de núcleo en discos en sistemas basados en Linux y Unix. Proporciona una puerta trasera persistente que se hace pasar por un servicio legítimo de Barracuda Networks y se establece como un filtro PCAP para capturar paquetes de datos que fluyen a través de una red y realizar varias operaciones. Seaside supervisa el seguimiento en el puerto 25, que se utiliza para el correo electrónico basado en SMTP.
Se puede activar utilizando un “paquete mágico” que solo el atacante conoce, pero que parece inocuo para todos los demás. Mandiant, la firma de seguridad contratada por Barracuda para investigar los ataques, dijo que encontró un código en Seaspy que se superpone con la puerta trasera cd00r disponible públicamente.
Mientras tanto, Seaside es un módulo para el daemon Barracuda SMTP (bsmtpd) que monitorea comandos, incluido SMTP HELO/EHLO para recibir un comando y controlar la dirección IP y el puerto para establecer un shell inverso.
El aviso del martes incluye hashes criptográficos, direcciones IP, ubicaciones de archivos y otros indicadores de compromiso asociados con el exploit de CVE-2023-2868 y la instalación del malware. Los funcionarios de la compañía también instaron a todos los clientes afectados a tomar las siguientes medidas:
- Asegúrese de que su dispositivo ESG reciba y aplique actualizaciones, definiciones y parches de seguridad de Barracuda. Comuníquese con el soporte de Barracuda ([email protected]) para validar si el dispositivo está actualizado.
- Suspenda el uso del dispositivo ESG comprometido y comuníquese con el soporte de Barracuda ([email protected]) para obtener un nuevo dispositivo virtual o de hardware ESG.
- Rote cualquier credencial aplicable conectada al dispositivo ESG:
o Cualquier LDAP/AD conectado
o Barracuda Cloud Control
o Servidor FTP
o PYME
o Cualquier certificado TLS privado- Revise sus registros de red para cualquiera de los [indicators of compromise] y cualquier IP desconocida. Póngase en contacto con [email protected] si se identifica alguno.
La Agencia de Ciberseguridad y Seguridad de la Infraestructura agregado CVE-2023-2868 a su lista de vulnerabilidades explotadas conocidas el viernes.