PSA: Cổng bảo mật email của Barracuda là một ứng dụng email doanh nghiệp phổ biến. Thật không may, nó đã không đáp ứng được khía cạnh bảo mật như tên của nó trong tám tháng qua. Tin tặc đã sử dụng một lỗ hổng trong phần mềm để lây nhiễm vào hệ thống ít nhất ba loại phần mềm độc hại bao gồm C2, tiêm lệnh, giám sát cổng và khả năng mở cửa hậu liên tục.
Hãng bảo mật Barracuda Networks tiết lộ một lỗ hổng zero-day trong ứng dụng email phổ biến của nó mà tin tặc đã khai thác trong tám tháng trước khi nó được phát hiện và vá. Bản vá đã được tung ra cách đây 11 ngày và Barracuda đã thông báo cho khách hàng về lỗ hổng thông qua Cổng bảo mật email (ESG), đồng thời cung cấp các biện pháp giảm thiểu.
Lỗ hổng bảo mật (CVE-2023-2868) đã cho phép đưa lệnh từ xa thông qua ESG do “xác thực đầu vào không đầy đủ” của các tệp .tar do người dùng cung cấp, đôi khi được gọi là tarball. Tarball tương tự như kho lưu trữ zip ở chỗ chúng chứa một tập hợp các tệp được nén vào một vùng chứa duy nhất.
Vấn đề là trong các phiên bản 5.1.3.001 đến 9.2.0.006 của ứng dụng khách ESG của Barracuda, những kẻ xấu có thể thực thi các lệnh hệ thống thông qua toán tử QX nếu tarball được đặt tên theo một cách cụ thể, không xác định. Lỗ hổng liên quan đến cách ngôn ngữ lập trình Perl xử lý dấu ngoặc kép, nhưng đó là lỗi cụ thể mà Barracuda sẽ mắc phải.
Công ty cho biết cuộc điều tra của họ đã xác định rằng những kẻ độc hại đã khai thác điểm yếu trong khoảng thời gian từ tháng 10 năm 2022 đến ngày 20 tháng 5 năm 2023. Tin tặc đã sử dụng điểm yếu đó để phân phối tải trọng phần mềm độc hại đến các hệ thống dễ bị tấn công, chủ yếu là các gói được xác định là Saltwater, Seaside và Seaspy.
Saltwater là một trojan bắt chước daemon SMTP của Barracuda (bsmtpd). Phần mềm độc hại có chức năng cửa sau để kẻ tấn công có thể tải lên hoặc tải xuống các tệp, thực thi các lệnh và sử dụng các khả năng tạo đường hầm và proxy.
Seaside là một mô-đun dựa trên Lua cũng được nhắm mục tiêu vào daemon SMTP. Nó giám sát các lệnh HELO/EHLO tìm kiếm các cổng và địa chỉ IP lệnh và kiểm soát (C2). Khi nhận được, nó sẽ gửi dữ liệu C2 dưới dạng đối số tới tệp nhị phân bên ngoài để tạo “trình bao kết nối lại”.
Seaspy là một tệp x64 ELF (định dạng có thể thực thi và có thể liên kết) giả vờ là một dịch vụ Barracuda Networks hợp pháp. Sau khi thiết lập chính nó như một bộ lọc PCAP, nó giám sát lưu lượng cổng 25 (SMTP). Seaspy có thể hoạt động như một cửa hậu liên tục và Barracuda cho biết những người điều hành có thể bí mật kích hoạt nó thông qua một “gói ma thuật”.
Barracuda không tiết lộ có bao nhiêu khách hàng đã bị khai thác trong 8 tháng mà lỗ hổng vẫn chưa được khám phá nhưng đã vá lỗi ngay lập tức trước khi thông báo cho khách hàng của mình.
“Người dùng có thiết bị mà chúng ta cho rằng bị ảnh hưởng đã được thông báo qua giao diện người dùng ESG về các hành động cần thực hiện”, công ty cho biết. “Barracuda cũng đã liên hệ với những khách hàng cụ thể này. Các khách hàng khác có thể được xác định trong quá trình điều tra.”
Nếu bạn sử dụng ứng dụng email ESG của Barracuda nhưng chưa nhận được thông báo từ công ty, hãy cập nhật phần mềm ngay lập tức. Bạn cũng có thể muốn thực hiện các biện pháp giảm thiểu Barracuda được liệt kê trong thông báo công khai.