Barracuda 网络安全网关零日漏洞研究揭示新恶意负载

重点摘要

最新研究揭示了一个已修复的 Barracuda 网络邮箱安全网关中的零日漏洞，这一漏洞在被修补之前已经被利用数月，且此攻击涉及三个先前未知的恶意负载。而负责此次网络攻击的对手依然难以捉摸。

Barracuda Networks 于 5 月 19 日披露了这一关键漏洞 (CVE20232868)，并在次日为其受影响的 ESG 设备应用了一系列补丁。该漏洞是一种远程命令注入漏洞，CVSS 基础分数为 94，源于设备内部一个用于筛选传入电子邮件附件的模块。

加速器梯子

Barracuda 在声明中表示：“如果客户没有通过 ESG 用户界面收到我们的通知，我们没有理由相信他们的环境受到影响，目前客户无需采取任何措施。”

CVE20232868 的外部分析发现

Barracuda 聘请了网络安全公司 Mandiant 协助调查此事件，并于 5 月 30 日发布了一份更新，概述了其初步发现。

更新中指出，证据显示该漏洞可能早在 2022 年 10 月就已被恶意利用。该漏洞允许恶意软件在某些设备上被放置，攻击者得以获得持续的后门访问权限。

Barracuda 在更新中表示：“在受影响的设备中发现了数据外泄的证据。”

“该漏洞源于对用户提供的 tar磁带归档文件的文件名的输入验证不完整。因此，远程攻击者可以以特定方式格式化文件名，从而通过 Perl 的 qx 操作符以 Email Security Gateway 产品的权限远程执行系统命令。”

到目前为止，已识别的三个恶意负载之一被称为 SaltWater，描述为一个包含后门功能的 Barracuda SMTP 守护进程bsmtpd的特洛伊模块。它的功能包括上传或下载文件、执行命令，并进行代理和隧道活动。

归属与负载分析

Barracuda 表示，Mandiant 仍在继续分析 SaltWater，以确定其特征是否与任何已知恶意软件家族重叠。

第二个负载 SeaSpy 是“一个 x64 ELF 持久后门，伪装成一个合法的 Barracuda Networks 服务，并作为 PCAP数据包捕获过滤器建立自身，专门监控 25 端口SMTP上的流量。”

Mandiant 的分析发现 SeaSpy 与 cd00r 存在共享代码，cd00r 是一个长期存在的公开后门。

第三个恶意软件 SeaSide 是一个基于 Lua 的模块，用于连接攻击者的指挥与控制服务器，以建立反向 shell 来访问系统。

Barracuda 的更新提供了与此次攻击相关的妥协指标的详细信息，以及可由设备操作员应用以搜索利用此漏洞的恶意 tar 文件的 YARA 规则。

公司表示，如果客户发现其 ESG 设备被入侵，应立即停止使用并联系 Barracuda 支持以获得新的设备。

Barracuda 还表示，其其他产品，包括其 SaaS 邮件安全服务，未受到该漏洞的影响。

Barracuda 漏洞时间线如下：

日期事件描述2023 年 5 月 18 日Barracuda 收到了来自 Barracuda 邮箱安全网关ESG设备的异常流量警报。2023 年 5 月 18 日Barracuda 聘请全球网络安全专家 Mandiant 协助调查。2023 年 5 月 19 日Barracuda 在其邮箱安全网关设备ESG中发现了一个漏洞CVE202328681。2023 年 5 月 20 日向全球所有 ESG 设备应用了修补此漏洞的安全补丁。2023 年 5 月 21 日向所有受影响的设备部署了一脚本，以遏制事件并抵御未经授权的访问。后续措施将向所有设备部署系列安全补丁，以支持我们的遏制策略。

上述