باراکودا فاش می‌کند که هکرها به‌مدت 8 ماه به طور فعال از روز صفر شدید بهره‌برداری کرده‌اند


PSA: Barracuda’s Email Security Gateway یک سرویس گیرنده ایمیل سازمانی محبوب است. متأسفانه، در هشت ماه گذشته به جنبه امنیتی نام خود عمل نکرده است. هکرها از یک نقص در نرم افزار برای آلوده کردن سیستم ها به حداقل سه نوع بدافزار استفاده می کنند که شامل C2، تزریق فرمان، نظارت بر پورت و قابلیت های درب پشتی مداوم است.

شرکت امنیتی Barracuda Networks یک آسیب پذیری روز صفر را در سرویس گیرنده ایمیل محبوب خود فاش کرد که هکرها به مدت هشت ماه قبل از کشف و اصلاح آن از آن سوء استفاده کردند. این وصله 11 روز پیش منتشر شد و Barracuda از طریق Email Security Gateway (ESG) مشتریان را در مورد این نقص مطلع کرد و اقدامات کاهشی را ارائه کرد.

حفره امنیتی (CVE-2023-2868) امکان تزریق فرمان از راه دور را از طریق ESG به دلیل «اعتبارآوری ناقص ورودی» فایل‌های .tar ارائه شده توسط کاربر، که گاهی اوقات تاربال نامیده می‌شود، می‌داد. تاربال‌ها شبیه بایگانی‌های فشرده هستند زیرا مجموعه‌ای از فایل‌ها را در یک ظرف فشرده می‌کنند.

مشکل این بود که در نسخه‌های 5.1.3.001 تا 9.2.0.006 کلاینت ESG Barracuda، بازیگران بد می‌توانستند دستورات سیستم را از طریق اپراتور QX اجرا کنند، در صورتی که tarball به روشی خاص و نامشخص نام‌گذاری شده بود. این نقص مربوط به نحوه عملکرد زبان برنامه نویسی پرل با علامت نقل قول بود، اما این به همان اندازه که باراکودا مشخص می کند مشخص است.

این شرکت می‌گوید تحقیقاتش نشان می‌دهد که عوامل مخرب بین اکتبر 2022 و 20 مه 2023 از این ضعف سوء استفاده کرده‌اند. هکرها از آن برای ارسال بارهای بدافزار به سیستم‌های آسیب‌پذیر، عمدتاً بسته‌هایی با نام‌های Saltwater، Seaside و Seaspy استفاده کردند.

بخونید:  Google Japan صفحه کلید Gboard چند منظوره با طول پنج فوت را به نمایش می گذارد

Saltwater تروجانی است که از دیمون SMTP Barracuda (bsmtpd) تقلید می کند. این بدافزار دارای عملکرد درب پشتی است، بنابراین مهاجمان می‌توانند فایل‌ها را آپلود یا دانلود کنند، دستورات را اجرا کنند و از قابلیت‌های پروکسی و تونل‌سازی استفاده کنند.

Seaside یک ماژول مبتنی بر Lua است که دیمون SMTP را نیز هدف قرار داده است. دستورات HELO/EHLO را به دنبال آدرس‌ها و پورت‌های IP فرمان و کنترل (C2) نظارت می‌کند. پس از دریافت، داده های C2 را به عنوان آرگومان به یک باینری خارجی ارسال می کند تا یک “پوسته اتصال به عقب” ایجاد کند.

Seaspy یک فایل x64 ELF (قالب قابل اجرا و پیوند) است که وانمود می‌کند یک سرویس شبکه Barracuda قانونی است. پس از تثبیت خود به عنوان یک فیلتر PCAP، ترافیک پورت 25 (SMTP) را نظارت می کند. Seaspy می تواند به عنوان یک درب پشتی دائمی عمل کند، و Barracuda می گوید که اپراتورها می توانند مخفیانه آن را از طریق یک “بسته جادویی” فعال کنند.

Barracuda فاش نکرد که در طول هشت ماه که حفره کشف نشده بود، چند مشتری مورد سوء استفاده قرار گرفتند، اما بلافاصله قبل از اطلاع دادن به مشتریان خود، باگ را اصلاح کرد.

این شرکت اظهار داشت: «کاربرانی که فکر می‌کنیم دستگاه‌هایشان تحت تأثیر قرار گرفته است، از طریق رابط کاربری ESG از اقدامات لازم مطلع شده‌اند. “باراکودا همچنین با این مشتریان خاص تماس گرفته است. ممکن است در جریان تحقیقات، مشتریان دیگری نیز شناسایی شوند.”

اگر از کلاینت ایمیل ESG Barracuda استفاده می‌کنید اما اعلانی از شرکت دریافت نکرده‌اید، فوراً نرم‌افزار را به‌روزرسانی کنید. همچنین ممکن است بخواهید اقدامات کاهشی که Barracuda در اطلاعیه عمومی آن ذکر شده است، انجام دهید.

بخونید:  آمازون تبلت های Fire HD 8 را با پردازنده شش هسته ای سریعتر و عمر باتری بیشتر به روز می کند



منبع