Barracuda zero-day usado desde 2022 para instalar malware e roubar dados
31 de Maio de 2023

A empresa de segurança de rede e e-mail Barracuda revelou hoje que uma vulnerabilidade de zero-day recentemente corrigida foi explorada por pelo menos sete meses para backdoor dispositivos de Email Security Gateway (ESG) dos clientes com malware personalizado e roubar dados.

A empresa diz que uma investigação em curso descobriu que o bug (rastreado como CVE-2023-2868 ) foi explorado pela primeira vez em outubro de 2022 para obter acesso a "um subconjunto de dispositivos ESG" e implantar backdoors projetados para fornecer aos atacantes acesso persistente aos sistemas comprometidos.

A Barracuda também descobriu evidências de que os atacantes roubaram informações dos dispositivos ESG backdoorados.

A falha de segurança foi identificada em 19 de maio, um dia após ser alertada sobre tráfego suspeito dos dispositivos ESG e contratar a empresa de segurança cibernética Mandiant para ajudar na investigação.

A empresa resolveu o problema em 20 de maio, aplicando um patch de segurança em todos os dispositivos ESG e bloqueando o acesso dos atacantes aos dispositivos comprometidos um dia depois, implantando um script dedicado.

Em 24 de maio, ela alertou os clientes de que seus dispositivos ESG poderiam ter sido violados usando o bug de zero-day agora corrigido, aconselhando-os a investigar seus ambientes, provavelmente para garantir que os atacantes não se movimentassem para outros dispositivos em sua rede.

"Uma série de patches de segurança estão sendo implantados em todos os dispositivos como parte de nossa estratégia de contenção", disse a Barracuda hoje.

"Os usuários cujos dispositivos acreditamos terem sido impactados foram notificados por meio da interface do usuário ESG das ações a serem tomadas.

A Barracuda também entrou em contato com esses clientes específicos."

A CISA adicionou a falha CVE-2023-2868 à sua lista de vulnerabilidades exploradas conhecidas na sexta-feira, provavelmente como um aviso para as agências federais que usam dispositivos ESG para verificar suas redes em busca de sinais de invasões decorrentes de sua violação.

Várias cepas de malware anteriormente desconhecidas foram encontradas durante a investigação, especificamente projetadas para serem usadas em produtos comprometidos de Email Security Gateway.

A primeira, chamada Saltwater, é um módulo trojanizado do daemon SMTP da Barracuda (bsmtpd) que fornece aos atacantes acesso a dispositivos infectados.

Suas "características" incluem a capacidade de executar comandos em dispositivos comprometidos, transferir arquivos e proxy/tunelar o tráfego malicioso dos atacantes para ajudar a evitar a detecção.

Outra cepa de malware implantada durante esta campanha, chamada SeaSpy, fornece persistência e pode ser ativada usando "pacotes mágicos".

O SeaSpy ajuda a monitorar o tráfego da porta 25 (SMTP), e parte de seu código se sobrepõe à backdoor passiva cd00r publicamente disponível.

Os atacantes também usaram um módulo malicioso bsmtpd chamado SeaSide para estabelecer shells reversos via comandos SMTP HELO/EHLO enviados pelo servidor de comando e controle (C2) do malware.

Os clientes são aconselhados a verificar se seus dispositivos ESG estão atualizados, parar de usar dispositivos comprometidos e solicitar um novo dispositivo virtual ou de hardware, girar todas as credenciais vinculadas a dispositivos hackeados e verificar seus logs de rede para IOCs compartilhados hoje e para conexões de IPs desconhecidos.

A Barracuda diz que seus produtos são usados por mais de 200.000 organizações, incluindo empresas de alto perfil como Samsung, Delta Airlines, Mitsubishi e Kraft Heinz.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...