Kritisch Barracuda 0-Day wurde 8 Monate lang für Backdoor-Netzwerke verwendet

Eine kritische Schwachstelle, die vor 10 Tagen in der weit verbreiteten E-Mail-Software des IT-Sicherheitsunternehmens Barracuda Networks behoben wurde, wird seit Oktober aktiv ausgenutzt. Die Sicherheitslücke wurde ausgenutzt, um mehrere Malware-Teile in großen Unternehmensnetzwerken zu installieren und Daten zu stehlen, sagte Barracuda am Dienstag.

Bei dem Softwarefehler mit der Bezeichnung CVE-2023-2868 handelt es sich um eine Schwachstelle durch Remote-Befehlsinjektion, die auf eine unvollständige Eingabevalidierung von vom Benutzer bereitgestellten .tar-Dateien zurückzuführen ist, die zum Packen oder Archivieren mehrerer Dateien verwendet werden. Wenn Dateinamen auf eine bestimmte Weise formatiert sind, kann ein Angreifer Systembefehle über den QX-Operator ausführen, eine Funktion in der Programmiersprache Perl, die Anführungszeichen verarbeitet. Die Sicherheitslücke besteht in den Barracuda Email Security Gateway-Versionen 5.1.3.001 bis 9.2.0.006; Barracuda hat vor 10 Tagen einen Patch veröffentlicht.

Am Dienstag teilte Barracuda seinen Kunden mit, dass CVE-2023-2868 seit Oktober aktiv bei Angriffen ausgenutzt wird, die es Bedrohungsakteuren ermöglicht haben, mehrere Malware-Teile zu installieren, um sensible Daten aus infizierten Netzwerken zu extrahieren.

„Benutzer, deren Geräte unserer Meinung nach betroffen waren, wurden über die ESG-Benutzeroberfläche über zu ergreifende Maßnahmen informiert“, heißt es in der Mitteilung vom Dienstag. „Barracuda hat sich auch an diese spezifischen Kunden gewandt. Im Zuge der Ermittlungen könnten weitere Kunden identifiziert werden.“

Zu den bisher identifizierten Schadprogrammen gehören Pakete, die als Saltwater, Seaside und Seaspy verfolgt werden. Saltwater ist ein bösartiges Modul für den SMTP-Daemon (bsmtpd), den Barracuda ESG verwendet. Das Modul enthält Backdoor-Funktionen, die das Hoch- oder Herunterladen beliebiger Dateien, das Ausführen von Befehlen sowie die Bereitstellung von Proxy- und Tunneling-Funktionen umfassen.

Seaside ist eine x64-ausführbare Datei im ELF-Format (ausführbares und verknüpfbares Format), die Binärdateien, Bibliotheken und Core-Dumps auf Festplatten in Linux- und Unix-basierten Systemen speichert. Es stellt eine Persistenz-Hintertür bereit, die sich als legitimer Barracuda Networks-Dienst ausgibt und sich als PCAP-Filter zum Erfassen von Datenpaketen, die durch ein Netzwerk fließen, und zum Durchführen verschiedener Vorgänge etabliert. Seaside überwacht das Tracking auf Port 25, der für SMTP-basierte E-Mails verwendet wird.

Lesen Sie auch  Game Mess Mornings 31.05.23 – Riesenbombe

Es kann mithilfe eines „magischen Pakets“ aktiviert werden, das nur dem Angreifer bekannt ist, für alle anderen jedoch harmlos erscheint. Mandiant, das Sicherheitsunternehmen, das Barracuda mit der Untersuchung der Angriffe beauftragt hat, gab an, in Seaspy Code gefunden zu haben, der sich mit der öffentlich zugänglichen Hintertür cd00r überschneidet.

Seaside hingegen ist ein Modul für den Barracuda SMTP-Daemon (bsmtpd), das Befehle überwacht, einschließlich SMTP HELO/EHLO, um einen Befehl zu empfangen und eine IP-Adresse und einen Port zu steuern, um eine Reverse-Shell einzurichten.

Die Mitteilung vom Dienstag umfasst kryptografische Hashes, IP-Adressen, Dateispeicherorte und andere Indikatoren für eine Kompromittierung im Zusammenhang mit der Ausnutzung von CVE-2023-2868 und der Installation der Malware. Unternehmensvertreter forderten außerdem alle betroffenen Kunden auf, die folgenden Maßnahmen zu ergreifen:

  1. Stellen Sie sicher, dass Ihre ESG-Appliance Updates, Definitionen und Sicherheitspatches von Barracuda empfängt und anwendet. Wenden Sie sich an den Barracuda-Support ([email protected]), um zu überprüfen, ob die Appliance auf dem neuesten Stand ist.
  2. Stellen Sie die Verwendung der kompromittierten ESG-Appliance ein und wenden Sie sich an den Barracuda-Support ([email protected]), um eine neue virtuelle ESG- oder Hardware-Appliance zu erhalten.
  3. Rotieren Sie alle anwendbaren Anmeldeinformationen, die mit der ESG-Appliance verbunden sind:
    o Jedes angeschlossene LDAP/AD
    o Barracuda Cloud Control
    o FTP-Server
    o KMU
    o Alle privaten TLS-Zertifikate
  4. Überprüfen Sie Ihre Netzwerkprotokolle auf Folgendes [indicators of compromise] und alle unbekannten IPs. Kontaktieren Sie [email protected], falls welche identifiziert werden.

Die Cybersecurity and Infrastructure Security Agency hat am Freitag CVE-2023-2868 zu ihrer Liste bekannter ausgenutzter Schwachstellen hinzugefügt.

Recent News

Tags
als Auf aus bei Das Dass dem den der des die ein eine einem einen Einer Fußball FÜR gegen haben hat IST MEHR MIT nach Nachricht neue nicht sich SIE sind Sport tägliche Post Und Von Vor Warum wegen werden Wie wird Würde zum zur über

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Hosted by Byohosting - Most Recommended Web Hosting - for complains, abuse, advertising contact: o f f i c e @byohosting.com

Copyright 2023 Germanic.News. All rights reserved.