Schwachstelle im Barracuda Email Security Gateway
Wir setzen uns dafür ein, Ihre Daten zu schützen. Es wurde festgestellt, dass betroffene ESG-Geräte sofort ersetzt werden müssen, unabhängig von der Patch-Version. Falls Ihr Gerät nach Erhalt der Benachrichtigung in Ihrer Benutzeroberfläche noch nicht ersetzt wurde, kontaktieren Sie bitte sofort unseren Support (support@barracuda.com). Die aktuelle Empfehlung von Barracuda zur Behebung dieses Problems ist der vollständige Austausch der betroffenen ESG-Geräte.
Vorläufige Zusammenfassung der wichtigsten Erkenntnisse
Barracuda Networks hat während dieses Vorfalls Transparenz und die Stärkung unserer Richtlinien, Verfahren und Technologien zum Schutz vor zukünftigen Angriffen als Priorität gesetzt. Obwohl unsere Untersuchung noch andauert, dient dieses Dokument dazu, vorläufige Erkenntnisse zu teilen, bekannte Indikatoren für Kompromittierungen (IOCs) zu liefern und YARA-Regeln zur Unterstützung unserer Kunden bei ihren Untersuchungen bereitzustellen, einschließlich ihrer eigenen Umgebungen.
Zeitachse
- Am 18. Mai 2023 wurde Barracuda auf anomalen Datenverkehr, der von Barracuda Email Security Gateway (ESG) Geräten ausging, aufmerksam gemacht.
- Am 18. Mai 2023 beauftragte Barracuda Mandiant, weltweit führende Experten für Cybersicherheit, mit der Unterstützung bei der Untersuchung.
- Am 19. Mai 2023 identifizierte Barracuda eine Schwachstelle (CVE-2023-2868) in unserem Email Security Gateway-Gerät (ESG).
- Am 20. Mai 2023 wurde ein Sicherheitspatch zur Behebung der Schwachstelle auf alle ESG-Geräte weltweit angewendet.
- Am 21. Mai 2023 wurde ein Skript auf alle betroffenen Geräte ausgerollt, um den Vorfall einzudämmen und nicht autorisierte Zugriffsmethoden zu bekämpfen.
- Eine Reihe von Sicherheitspatches wird derzeit auf alle Geräte ausgerollt, um unsere Eindämmungsstrategie weiter zu unterstützen.
Wichtige Erkenntnisse
Während die Untersuchung noch andauert, hat Barracuda folgende Schlussfolgerungen gezogen:
- Die Schwachstelle bestand in einem Modul, das zunächst die Anhänge eingehender E-Mails überprüft. Keine anderen Barracuda-Produkte, einschließlich unserer SaaS-E-Mail-Sicherheitsdienste, waren von der identifizierten Schwachstelle betroffen.
- Die früheste identifizierte Beweisführung für die Ausnutzung von CVE-2023-2868 liegt derzeit im Oktober 2022.
- Barracuda stellte fest, dass CVE-2023-2868 zur Erlangung nicht autorisierten Zugriffs auf eine Teilmenge von ESG-Geräten verwendet wurde.
- Es wurde Malware auf einer Teilmenge von Geräten identifiziert, die einen dauerhaften Backdoor-Zugang ermöglicht.
- Hinweise auf Datenexfiltration wurden auf einer Teilmenge der betroffenen Geräte identifiziert.
Benutzer, von deren Geräten wir glauben, dass sie betroffen waren, wurden über die ESG-Benutzeroberfläche über die zu ergreifenden Maßnahmen informiert. Barracuda hat sich auch an diese spezifischen Kunden gewandt. Im Laufe der Untersuchung könnten zusätzliche Kunden identifiziert werden.
CVE-2023-2868
Am 19. Mai 2023 identifizierte Barracuda Networks eine Schwachstelle für die Remote-Befehlsinjektion (CVE-2023-2868) in der Barracuda Email Security Gateway (nur Geräteformfaktor) Versionen 5.1.3.001-9.2.0.006. Die Schwachstelle resultierte aus einer unvollständigen Eingabevalidierung von vom Benutzer gelieferten .tar-Dateien in Bezug auf die Namen der in dem Archiv enthaltenen Dateien. Infolgedessen konnte ein Remote-Angreifer Dateinamen in einer bestimmten Art und Weise formatieren, die dazu führen würde, dass ein Systembefehl über den qx-Operator von Perl mit den Berechtigungen des Email Security Gateway-Produkts ausgeführt wird.
Barracudas Untersuchung hat bislang ergeben, dass eine dritte Partei die oben beschriebene Technik genutzt hat, um unerlaubten Zugang zu einer Teilmenge von ESG-Geräten zu erlangen.
Malware
Dieser Abschnitt gibt Details zur bisher identifizierten Malware und zur Unterstützung der Nachverfolgung wurden Codenamen für die Malware vergeben.
SALTWATER
SALTWATER ist ein Trojaner-Modul für den Barracuda SMTP-Daemon (bsmtpd), das eine Backdoor-Funktionalität enthält. Die Fähigkeiten von SALTWATER umfassen die Möglichkeit, beliebige Dateien hoch- oder herunterzuladen, Befehle auszuführen sowie Proxy- und Tunneling-Funktionen.
Identifiziert wurde SALTWATER im Pfad: /home/product/code/firmware/current/lib/smtp/modules auf einer Teilmenge von ESG-Geräten.
Die Backdoor ist mit Hooks auf die Send-, Recv-, Close-Syscalls implementiert und umfasst fünf Komponenten, die meisten davon werden als „Kanäle“ innerhalb der Binärdatei bezeichnet. Neben Proxy-Funktionen weisen diese Komponenten auch Backdoor-Funktionen auf. Die fünf (5) Kanäle können in der folgenden Liste gesehen werden:
- DownloadChannel
- UploadChannel
- ProxyChannel
- ShellChannel
- TunnelArgs
Mandiant analysiert SALTWATER derzeit noch, um festzustellen, ob es Überschneidungen mit anderen bekannten Malware-Familien gibt.
Untenstehende Tabelle 1 liefert die Datei-Metadaten zu einer SALTWATER-Variante
Tabelle 1: SALTWATER-Variante Metadaten
Name | SHA256 |
---|---|
mod_udp.so | 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4 |
MD5 | Dateityp | Größe (Bytes) |
---|---|---|
827d507aa3bde0ef903ca5dec60cdec8 | ELF x86 | 1,879,643 |
SEASPY
SEASPY ist eine x64 ELF Persistenz-Backdoor, die sich als legitimer Barracuda Networks Service ausgibt und sich als PCAP-Filter etabliert, der speziell den Verkehr auf Port 25 (SMTP) und Port 587 überwacht. SEASPY enthält eine Backdoor-Funktionalität, die durch ein „magisches Paket“ aktiviert wird.
Identifiziert wurde SEASPY im Pfad: /sbin/ auf einer Teilmenge von ESG-Geräten.
Mandiant-Analysen haben Code-Überschneidungen zwischen SEASPY und cd00r, einer öffentlich verfügbaren Backdoor, identifiziert.
Untenstehende Tabelle 2 liefert die Datei-Metadaten zu einer SEASPY-Variante.
Tabelle 2: SEASPY-Variante Metadaten
Name | SHA256 |
---|---|
BarracudaMailService | 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115 |
MD5 | Dateityp | Größe (Bytes) |
---|---|---|
4ca4f582418b2cc0626700511a6315c0 | ELF x64 | 2,924,217 |
Abschließende Worte
Barracuda betont weiterhin die Priorität von Transparenz und nutzt diese Gelegenheit, um ihre Politik, Praktiken und Technologien zu stärken, um gegen zukünftige Angriffe zu schützen. Obwohl die Untersuchung noch andauert, hat Barracuda seine vorläufigen Erkenntnisse geteilt und die bekannten Indikatoren für Kompromisse (IOCs) sowie YARA-Regeln bereitgestellt, um ihren Kunden bei ihren Untersuchungen zu helfen, einschließlich hinsichtlich ihrer eigenen Umgebungen.
Zusammenfassend ist zu sagen, dass die Sicherheitslücke CVE-2023-2868 und die darauf folgenden Cyber-Angriffe einen ernsthaften Vorfall darstellen. Der Vorfall unterstreicht die Notwendigkeit ständiger Wachsamkeit und ständiger Aktualisierungen und Verbesserungen in der Cyber-Sicherheit. Es zeigt auch die Wichtigkeit einer schnellen Reaktion und Transparenz gegenüber den Kunden, wenn ein Vorfall auftritt. Barracuda hat sich verpflichtet, die Sicherheit ihrer Produkte zu gewährleisten und ihre Kunden auf dem Laufenden zu halten.