شرکت امنیتی Barracuda اعلام کرد که یک آسیبپذیری در دستگاههای ESG(Email Security Gateway) رفع شده است که اخیرا توسط عوامل تهدید در درب پشتی دستگاهها مورد سوءاستفاده قرار گرفته است. آسیبپذیری بحرانی که با شناسه CVE-2023-2868 و با شدت بحرانی 9.8 ردیابی شده است، به مدت 7 ماه قبل از کشف و شناسایی اکسپلویت شده است. این آسیبپذیری از طریق تزریق فرمان از راه دور در محصول Barracuda Email Security Gateway شکل میگیرد. اعتبارسنجی ناقص یک فایل .tar که توسط کاربر وارد میشود موجب این آسیبپذیری میشود. مهاجم از راه دور میتواند نام فایلها را به شیوهای خاص قالببندی کند و فرمان از راه دور را با مجوز دسترسی Email Security Gateway اجرا کند.
در حملات انجام شده، مهاجمان از این آسیبپذیری برای دسترسی اولیه به سازمانهای قربانی سوءاستفاده کردند. پس از کسب دسترسی لازم، بدافزارهای جدید و شناخته شده سفارشی در سازمانهای قربانی مستقر شدند. بدافزار SALTWATER، یک ماژول حاوی تروجان برای Barracuda SMTP Daemon(bsmtpd) است که بهعنوان درب پشتی در سازمانهای قربانی عمل میکند. این بدافزار قادر به آپلود و دانلود فایل، اجرای دستور و پروکسی و تونلسازی است. SEASPY بدافزار دربپشتی دیگری است که با جعل سرویس در شبکه Barracuda، خود را بهعنوان فیلتر PCAP تثبیت میکند و ترافیک پورت 25 را نظارت میکند. SEASIDE بدافزار دیگری است که یک ماژول مبتنی بر Lua است و برای ایجاد حفاظ معکوس در داراییهای در معرض خطر استفاده میشود.
این آسیبپذیری نسخههای 5.1.3.001 تا 9.2.0.006 را تحت تاثیر قرار میدهد و به مهاجم امکان اجرای کد در تاسیسات حساس را میدهد.
به کاربران توصیه میشود که در صورتی که اکسپلویت انجام شده باشد، ارتباط با دستگاه ESG را قطع کنند. به مرکز عملیات امنیتی eSentire اطلاع دهند. اعتبارنامههای متصل به برنامه ESG را بازنشانی کنند. گزارش¬های مربوط به شاخصهای شناخته شده که در توصیه Barracuda مشخص شده است را مرور کنند.
منابع خبر
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-2868
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2868
[3] https://www.helpnetsecurity.com/2023/05/25/cve-2023-2868/
[4] https://thehackernews.com/2023/05/alert-hackers-exploit-barracuda-email.html
- 38