BT güvenlik şirketi Barracuda Networks’ün yaygın olarak kullanılan e-posta yazılımında 10 gün önce yamalanan kritik bir güvenlik açığı, Ekim ayından bu yana aktif olarak kullanılıyor. Barracuda Salı günü yaptığı açıklamada, güvenlik açığının büyük kuruluş ağlarına birden çok kötü amaçlı yazılım yüklemek ve verileri çalmak için kullanıldığını söyledi.
CVE-2023-2868 olarak izlenen yazılım hatası, birden fazla dosyayı paketlemek veya arşivlemek için kullanılan, kullanıcı tarafından sağlanan .tar dosyalarının eksik giriş doğrulamasından kaynaklanan bir uzaktan komut ekleme güvenlik açığıdır. Dosya adları belirli bir şekilde biçimlendirildiğinde, bir saldırgan Perl programlama dilinde tırnak işaretlerini işleyen bir işlev olan QX işleci aracılığıyla sistem komutlarını yürütebilir. Güvenlik açığı, Barracuda Email Security Gateway’in 5.1.3.001 ile 9.2.0.006 arasındaki sürümlerinde mevcuttur; Barracuda 10 gün önce bir yama yayınladı.
Salı günü Barracuda, müşterilerine, CVE-2023-2868’in Ekim ayından bu yana, tehdit aktörlerinin hassas verileri virüslü ağlardan dışarı sızdırmak için birden fazla kötü amaçlı yazılım parçası yüklemesine izin veren saldırılarda aktif olarak kullanıldığını bildirdi.
Salı günkü bildirimde, “Cihazlarının etkilendiğine inandığımız kullanıcılara, ESG kullanıcı arabirimi aracılığıyla yapılacak işlemler bildirildi.” “Barracuda bu belirli müşterilere de ulaştı. Soruşturma sırasında ek müşteriler belirlenebilir.”
Bugüne kadar tanımlanan kötü amaçlı yazılımlar, Saltwater, Seaside ve Seaspy olarak izlenen paketleri içerir. Saltwater, Barracuda ESG’nin kullandığı SMTP arka plan programı (bsmtpd) için kötü niyetli bir modüldür. Modül, rasgele dosyaları yükleme veya indirme, komutları yürütme ve proxy ve tünel oluşturma yetenekleri sağlama becerisini içeren arka kapı işlevselliği içerir.
Seaside, Linux ve Unix tabanlı sistemlerde ikili dosyaları, kitaplıkları ve çekirdek dökümlerini disklerde depolayan ELF’de (yürütülebilir ve bağlanabilir biçim) çalıştırılabilir bir x64’tür. Meşru bir Barracuda Networks hizmeti gibi görünen ve bir ağ üzerinden akan veri paketlerini yakalamak ve çeşitli işlemleri gerçekleştirmek için kendisini bir PCAP filtresi olarak belirleyen kalıcı bir arka kapı sağlar. Seaside, SMTP tabanlı e-posta için kullanılan 25 numaralı bağlantı noktasında izlemeyi izler.
Yalnızca saldırganın bildiği, ancak diğerleri için zararsız görünen bir “sihirli paket” kullanılarak etkinleştirilebilir. Barracuda’nın saldırıları araştırması için tuttuğu güvenlik firması Mandiant, Seaspy’da halka açık cd00r arka kapısıyla örtüşen bir kod bulduğunu söyledi.
Bu arada Seaside, bir komut almak ve ters bir kabuk oluşturmak için IP adresini ve bağlantı noktasını kontrol etmek için SMTP HELO/EHLO dahil olmak üzere komutları izleyen Barracuda SMTP arka plan programı (bsmtpd) için bir modüldür.
Salı günkü bildirim, kriptografik karmaları, IP adreslerini, dosya konumlarını ve CVE-2023-2868’in kötüye kullanılması ve kötü amaçlı yazılımın yüklenmesiyle ilişkili diğer risk göstergelerini içerir. Şirket yetkilileri ayrıca etkilenen tüm müşterileri aşağıdaki önlemleri almaya çağırdı:
- ESG cihazınızın Barracuda’dan güncellemeleri, tanımları ve güvenlik yamalarını aldığından ve uyguladığından emin olun. Cihazın güncel olup olmadığını doğrulamak için Barracuda desteğiyle ([email protected]) iletişime geçin.
- Güvenliği ihlal edilmiş ESG cihazının kullanımını durdurun ve yeni bir ESG sanal veya donanım cihazı edinmek için Barracuda desteğiyle ([email protected]) iletişime geçin.
- ESG cihazına bağlı geçerli tüm kimlik bilgilerini döndürün:
o Herhangi bir bağlı LDAP/AD
o Barracuda Bulut Kontrolü
o FTP Sunucusu
KOBİ
o Tüm özel TLS sertifikaları- Herhangi biri için ağ günlüklerinizi gözden geçirin. [indicators of compromise] ve bilinmeyen IP’ler. Herhangi biri tespit edilirse [email protected] ile iletişime geçin.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Cuma günü bilinen kötüye kullanılan güvenlik açıkları listesine CVE-2023-2868’i ekledi.
