Компрометация шлюзов Barracuda ESG, требующая замены оборудования

Компания Barracuda Networks объявила о необходимости физической замены устройств ESG (Email Security Gateway), поражённых вредоносным ПО в результате 0-day уязвимости в модуле обработки вложений к электронной почте. Сообщается, что для блокирования проблемы установки ранее выпущенных патчей недостаточно. Подробности не приводятся, но предположительно решение о замене оборудования принято из-за атаки, приведшей к установке вредоносного ПО на низком уровне, и невозможности его удалить путём замены прошивки или сброса в заводское состояние. Оборудование будет заменено бесплатно, о компенсации расходов на доставку и работу по замене не уточняется.

ESG представляет собой аппаратно-программный комплекс для защиты электронной почты предприятий от атак, спама и вирусов. 18 мая был зафиксирован аномальный трафик с устройств ESG, который оказался связан с вредоносной активностью. Разбор показал, что устройства были скомпрометированы, используя неисправленную (0-day) уязвимость (CVE-2023-28681), позволяющую выполнить свой код через отправку специально оформленного электронного письма. Проблема была вызвана отсутствием должной проверки имён файлов внутри tar-архивов, передаваемых в почтовом вложении, и позволяла выполнить произвольную команду в системе с повышенными привилегиями, обойдя экранирование при выполнении кода через Perl-оператор “qx“.

Уязвимость присутствует в отдельно поставляемых устройствах ESG (appliance) с прошивками версий с 5.1.3.001 по 9.2.0.006 включительно. Факты эксплуатации уязвимости прослеживаются ещё с октября 2022 года и до мая 2023 года проблема оставалась незамеченной. Уязвимость использовалась атакующими для установки на шлюзах нескольких видов вредоносного ПО – SALTWATER, SEASPY и SEASIDE, предоставляющих внешний доступ к устройству (бэкдор) и применяемых для перехвата конфиденциальных данных.

Бэкдор SALTWATER был оформлен в виде модуля mod_udp.so к SMTP-процессу bsmtpd и позволял загружать и запускать в системе произвольные файлы, а также проксировать запросы и туннелировать трафик на внешний сервер. Для получения управления в бэкдоре использовался перехват системных вызовов send, recv и close.

Вредоносный компонент SEASIDE был написан на языке Lua, устанавливался в виде модуля mod_require_helo.lua для SMTP-сервера и занимался отслеживанием входящих команд HELO/EHLO, выявлением запросов с управляющего сервера и определением параметров запуска обратного shell.

SEASPY представлял собой исполняемый файл BarracudaMailService, устанавливаемый в виде системного сервиса. Сервис использовал фильтр на базе PCAP для отслеживания трафика на 25 (SMTP) и 587 сетевых портах и активировал бэкдор при выявлении пакета со специальной последовательностью.

20 мая компания Barracuda выпустила обновление с исправлением уязвимости, которое 21 мая было доставлено на все устройства. 8 июня было объявлено, что обновления недостаточно и пользователям необходимо физически заменить скомпрометированные устройства. Пользователям также рекомендуется заменить все ключи доступа и учётные данные, которые пересекались с Barracuda ESG, например, в привязанных LDAP/AD и Barracuda Cloud Control. По предварительным данным в сети находится около 11 тысяч устройств ESG, использующих сервис Barracuda Networks Spam Firewall smtpd, который применяется в Email Security Gateway.

Release. Ссылка here.