Uma vulnerabilidade crítica de injeção de comando remoto em alguns dispositivos da Barracuda Network que o fornecedor corrigiu 11 dias atrás foi explorada por criminosos – pelo menos nos últimos sete meses.
A Barracuda disse que descobriu o bug, rastreado como CVE-2023-2868, em seu dispositivo Email Security Gateway (ESG) em 19 de maio e lançou um patch para todos esses produtos globalmente no dia seguinte.
Em um alerta de segurança publicado na terça-feira, no entanto, o fornecedor revelou que a vulnerabilidade estava sob exploração ativa muito antes da chegada do patch. A falha, que afeta as versões 5.1.3.001 a 9.2.0.006 do dispositivo ESG, pode e foi abusada para executar comandos remotos em equipamentos de destino, sequestrá-los e implantar spyware para roubo de dados nas caixas.
“A evidência mais antiga identificada de exploração de CVE-2023-2868 é atualmente em outubro de 2022”, disse, acrescentando que sua investigação sobre o assunto ainda está em andamento.
Os invasores exploraram a brecha para invadir “um subconjunto” de dispositivos Barracuda ESG e, em seguida, inseriram algum malware para permitir o acesso persistente por backdoor e roubo de dados, nos disseram.
“Evidências de exfiltração de dados foram identificadas em um subconjunto de aparelhos afetados”, acrescentou Barracuda.
Nenhum outro produto Barracuda foi afetado, de acordo com o fornecedor de segurança.
Tráfego anormal acendeu alerta
Logo após identificar o tráfego anormal proveniente de seus produtos de segurança de e-mail, a Barracuda chamou a Mandiant para ajudar na investigação.
No dia seguinte ao lançamento de um patch, em 21 de maio, o Barracuda implantou um script nos dispositivos ESG comprometidos “para conter o incidente e combater métodos de acesso não autorizados”, afirmou.
Além disso, o fornecedor está enviando uma série de patches adicionais “para promover nossa estratégia de contenção”, de acordo com Barracuda.
A empresa se recusou a dizer quantos clientes foram comprometidos e quem está explorando a vulnerabilidade. Afirma que mais de 200.000 clientes em todo o mundo usam seus produtos de segurança.
Na sexta-feira passada, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA adicionou o CVE-2023-2868 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
A falha, uma vulnerabilidade de injeção de comando remoto, ocorre devido à validação de entrada incompleta de um arquivo .tar fornecido pelo usuário. Os invasores remotos podem formatar os nomes de arquivo nesse arquivo de uma maneira que lhes permita executar um comando do sistema por meio do operador qx do Perl quando o arquivo é processado.
Barracuda Email Security Gateways atacados por ladrões de dados
Depois de explorar o CVE-2023-2868 na natureza, o invasor não identificado implantou três tipos de malware nos dispositivos de segurança de e-mail comprometidos.
Primeiro, um backdoor chamado Saltwater para upload e download de arquivos e execução de comandos. Ele também incluía recursos de proxy e encapsulamento.
“A Mandiant ainda está analisando o SALTWATER para determinar se ele se sobrepõe a outras famílias de malware conhecidas”, diz o alerta.
Em seguida, os criminosos implantaram o Seaspy, um backdoor de persistência x64 disfarçado como um serviço Barracuda legítimo. O Seaspy se estabelece como um filtro de pacotes PCAP para monitorar o tráfego de rede na porta 25.
Este pedaço de malware compartilha algum código com cd00r, um backdoor disponível publicamente, de acordo com Mandiant e Barracuda.
E, finalmente, Seaside é um módulo baseado em Lua que monitora os comandos SMTP HELO/EHLO de entrada que, curiosamente, informa quais endereços IP e portas de comando e controle usar e estabelece um shell reverso para os invasores emitirem comandos.
A Barracuda diz que notificou os clientes cujos produtos podem ter sido comprometidos. À medida que a investigação continua, essa lista de usuários afetados pode crescer.
Os clientes devem garantir que seus dispositivos ESG estejam recebendo e instalando atualizações e patches, e se o seu produto foi comprometido: pare de usá-lo e entre em contato com Barracua, support[at]barracuda[dot]com. Veja o comunicado para indicadores de comprometimento.
Além disso, gire todas as credenciais aplicáveis ??conectadas ao dispositivo ESG – mas lembre-se de que, se alguém estiver dentro do seu equipamento, essa pessoa poderá captar as alterações. E revise os logs de rede para qualquer um dos indicadores de comprometimento listados no alerta de segurança do Barracuda.