黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备
编译:代码卫士
Barracuda 公司表示,黑客利用0day (CVE-2023-2868) 攻陷某些客户的 ESG 设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,“CVE-2023-2868遭利用的最早证据可追溯至2022年10月。”
5月23日,Barracuda 公司公开证实称,攻击者已利用 CVE-2023-2868 攻陷多家组织机构的邮件安全网关本地物理设备。今天,该公司证实称,修复该RCE漏洞的第一个补丁在5月20日应用到全球所有的 ESG 设备中,并且提供了“部署到所有受影响设备以阻止该事件并应对越权访问的”脚本。
Mandiant 公司的网络安全专家协助分析指出,受影响设备上至少被释放了三种不同的恶意 payload:
SALTWATER:为 Barracuda SMTP 守护进程 (bsmtpd) 设计的木马化模块,是具有代理和隧道能力的后门,可导致攻击者上传或下载任意文件并执行命令。
SEASPY:一款 x64 ELF 持久后门,伪装成 Barracuda Networks 合法服务且自称为 PCAP 过滤器用于监控端口25的流量。
SEASIDE:适用于 Barracuda SMTP 守护进程 (bsmtpd) 的基于 Lua 的模块,与攻击者的C2服务器建立连接并有助于建立反向shell(以提供系统访问权限)。
Mandiant 公司提到,SEASPY 和 cd00r (公开发布的 PoC 后门)之间存在一些重合之处,但该恶意软件尚未证实与任何特定威胁行动者之间存在关联。
Barracuda 公司对受影响 ESG 客户的建议是:
确保受影响设备从 Barracuda 处接收并应用更新和安全补丁。
如可能,删除受陷ESG设备并联系该公司获取新的 ESG 虚拟或硬件设备。
审计网络日志并搜索由该公司共享的 IOC 和 IP信息。
Barracuda 公司还提供 YARA 规则,帮助组织机构捕获利用该漏洞的恶意 TAR 文件。该公司指出,“后续我们将向所有设备部署一系列安全补丁。”
CISA已将该漏洞加入必修清单中。
https://www.helpnetsecurity.com/2023/05/30/barracuda-esg-zero-day/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。