Búsca en Seguridad y Firewall


Grupo chino UNC4841 explota falla de día cero en Barracuda Email Security Gateway

Diego Cortes Robles viernes, junio 16, 2023Compartir:


Barracuda ha revelado nuevos detalles sobre el incidente de seguridad que afectó a una serie de dispositivos Barracuda Email Security Gateway (ESG) comprometidos. Según las investigaciones en curso, se ha confirmado que el ataque fue llevado a cabo por un actor agresivo y altamente capacitado, con sospechas de vínculos con China, y que se aprovechó de una vulnerabilidad de día cero en los dispositivos ESG.

En concordancia con las actualizaciones anteriores, Barracuda ha compartido detalles técnicos adicionales para apoyar a sus clientes y socios. Además, se han publicado indicadores de compromiso adicionales que las organizaciones pueden utilizar para fortalecer sus defensas de red.

La empresa de ciberseguridad Mandiant ha llevado a cabo una evaluación y ha concluido con alta confianza que el actor de amenazas, identificado como UNC4841, que explotó la vulnerabilidad de día cero en los dispositivos ESG, llevó a cabo actividades dirigidas de recopilación de información en apoyo a la República Popular de China.

La prioridad de Barracuda durante todo este incidente ha sido la transparencia en torno a lo que se sabe y las acciones que se han tomado. Como se recomendó en las directrices emitidas el 31 de mayo de 2023 y reiteradas el 6 de junio de 2023, se recomienda reemplazar de inmediato los dispositivos ESG comprometidos, independientemente del nivel de parche aplicado. Los usuarios cuyos dispositivos se cree que han sido afectados han sido notificados a través de la interfaz de usuario de ESG sobre las acciones a tomar. Barracuda también se ha comunicado directamente con estos clientes específicos, y es posible que se identifiquen más clientes afectados a medida que avance la investigación.


CVE-2023-2868


El 19 de mayo de 2023, Barracuda Networks identificó una vulnerabilidad de inyección remota de comandos (CVE-2023-2868) presente en la Barracuda Email Security Gateway (solo en formato de dispositivo) en las versiones 5.1.3.001-9.2.0.006. La vulnerabilidad se originó debido a una validación de entrada incompleta de archivos .tar proporcionados por el usuario en cuanto a los nombres de los archivos contenidos en el archivo. Como resultado, un atacante remoto podría formatear los nombres de los archivos de manera particular, lo que resultaría en la ejecución remota de un comando de sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway.


La investigación de Barracuda hasta la fecha ha determinado que un tercero utilizó la técnica descrita anteriormente para obtener acceso no autorizado a un subconjunto de dispositivos ESG.


Malware


Esta sección detalla el malware identificado hasta la fecha y se han asignado nombres en clave para rastrearlos.

SALTWATER


SALTWATER es un módulo con troyano para el demonio SMTP de Barracuda (bsmtpd) que contiene funcionalidad de puerta trasera. Las capacidades de SALTWATER incluyen la capacidad de cargar o descargar archivos arbitrarios, ejecutar comandos, así como capacidades de proxy y túnel.

Identificado en la ruta: /home/product/code/firmware/current/lib/smtp/modules en un subconjunto de dispositivos ESG.

La puerta trasera se implementa utilizando hooks en las llamadas del sistema send, recv, close, y consta de cinco componentes, la mayoría de los cuales se denominan "canales" dentro del binario. Además de proporcionar capacidades de proxy, estos componentes exhiben funcionalidad de puerta trasera. Los cinco (5) canales se pueden ver en la siguiente lista:


  • DownloadChannel
  • UploadChannel
  • ProxyChannel
  • ShellChannel
  • TunnelArgs


Mandiant todavía está analizando SALTWATER para determinar si se superpone con otras familias de malware conocidas.

SEASPY

SEASPY es una puerta trasera de persistencia ELF x64 que se hace pasar por un servicio legítimo de Barracuda Networks y se establece como un filtro PCAP, monitoreando específicamente el tráfico en el puerto 25 (SMTP) y el puerto 587. SEASPY contiene una funcionalidad de puerta trasera que se activa mediante un "paquete mágico".

Identificado en la ruta: /sbin/ en un subconjunto de dispositivos ESG.

El análisis de Mandiant ha identificado una superposición de código entre SEASPY y cd00r, una puerta trasera disponible públicamente.


SEASIDE

SEASIDE es un módulo basado en Lua para el demonio Barracuda SMTP (bsmtpd) que monitorea los comandos SMTP HELO/EHLO para recibir una dirección IP de comando y control (C2) y un puerto que pasa como argumentos a un binario externo que establece un shell inverso.


Recomendaciones para clientes afectados

Asegúrese de que su dispositivo ESG reciba y aplique actualizaciones, definiciones y parches de seguridad de Barracuda. Comuníquese con el soporte de Barracuda ( support@barracuda.com ) para validar si el dispositivo está actualizado.

Suspenda el uso del dispositivo ESG comprometido y comuníquese con el soporte de Barracuda ( support@barracuda.com ) para obtener un nuevo dispositivo virtual o de hardware ESG.

Rote cualquier credencial aplicable conectada al dispositivo ESG:

o Cualquier LDAP/AD conectado

o Barracuda Cloud Control

o Servidor FTP

o SMB

o Cualquier certificado TLS privado

Revise sus registros de red para cualquiera de los IOC enumerados a continuación y cualquier IP desconocida. Póngase en contacto con compliance@barracuda.com si se identifica alguno.

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!