Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Exploit 0day w tej bramce pocztowej stosowany był w realnych atakach od przeszło pół roku. Instalowali trwały implant w urządzeniach.

31 maja 2023, 20:03 | W biegu | 0 komentarzy

O podatności w urządzeniach Barracuda pisaliśmy niedawno. Teraz pojawiło się więcej informacji. Exploit był dość prosty i polegał na wysłaniu złośliwego maila do odbiorcy-celu. Mail trafiał na bramkę pocztową, która miała filtrować złośliwe maile. Ale tutaj klops – sama bramka była atakowana oraz infekowana:

The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive. Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl’s qx operator with the privileges of the Email Security Gateway product.

Warto też zaznaczyć, że atakujący używali skutecznie exploita już od października 2022:

Earliest identified evidence of exploitation of CVE-2023-2868 is currently October 2022.

W poście opublikowanym przez producenta można znaleźć analizę backdoora, który był umieszczany w urządzeniu:

SALTWATER is a trojanized module for the Barracuda SMTP daemon (bsmtpd) that contains backdoor functionality. The capabilities of SALTWATER include the ability to upload or download arbitrary files, execute commands, as well as proxy and tunneling capabilities.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz