A empresa de segurança de rede e e-mail Barracuda revelou hoje que uma vulnerabilidade de zero-day recentemente corrigida foi explorada por pelo menos sete meses para backdoor dispositivos de Email Security Gateway (ESG) dos clientes com malware personalizado e roubar dados.
A empresa diz que uma investigação em curso descobriu que o bug (rastreado como
CVE-2023-2868
) foi explorado pela primeira vez em outubro de 2022 para obter acesso a "um subconjunto de dispositivos ESG" e implantar backdoors projetados para fornecer aos atacantes acesso persistente aos sistemas comprometidos.
A Barracuda também descobriu evidências de que os atacantes roubaram informações dos dispositivos ESG backdoorados.
A falha de segurança foi identificada em 19 de maio, um dia após ser alertada sobre tráfego suspeito dos dispositivos ESG e contratar a empresa de segurança cibernética Mandiant para ajudar na investigação.
A empresa resolveu o problema em 20 de maio, aplicando um patch de segurança em todos os dispositivos ESG e bloqueando o acesso dos atacantes aos dispositivos comprometidos um dia depois, implantando um script dedicado.
Em 24 de maio, ela alertou os clientes de que seus dispositivos ESG poderiam ter sido violados usando o bug de zero-day agora corrigido, aconselhando-os a investigar seus ambientes, provavelmente para garantir que os atacantes não se movimentassem para outros dispositivos em sua rede.
"Uma série de patches de segurança estão sendo implantados em todos os dispositivos como parte de nossa estratégia de contenção", disse a Barracuda hoje.
"Os usuários cujos dispositivos acreditamos terem sido impactados foram notificados por meio da interface do usuário ESG das ações a serem tomadas.
A Barracuda também entrou em contato com esses clientes específicos."
A CISA adicionou a falha
CVE-2023-2868
à sua lista de vulnerabilidades exploradas conhecidas na sexta-feira, provavelmente como um aviso para as agências federais que usam dispositivos ESG para verificar suas redes em busca de sinais de invasões decorrentes de sua violação.
Várias cepas de malware anteriormente desconhecidas foram encontradas durante a investigação, especificamente projetadas para serem usadas em produtos comprometidos de Email Security Gateway.
A primeira, chamada Saltwater, é um módulo trojanizado do daemon SMTP da Barracuda (bsmtpd) que fornece aos atacantes acesso a dispositivos infectados.
Suas "características" incluem a capacidade de executar comandos em dispositivos comprometidos, transferir arquivos e proxy/tunelar o tráfego malicioso dos atacantes para ajudar a evitar a detecção.
Outra cepa de malware implantada durante esta campanha, chamada SeaSpy, fornece persistência e pode ser ativada usando "pacotes mágicos".
O SeaSpy ajuda a monitorar o tráfego da porta 25 (SMTP), e parte de seu código se sobrepõe à backdoor passiva cd00r publicamente disponível.
Os atacantes também usaram um módulo malicioso bsmtpd chamado SeaSide para estabelecer shells reversos via comandos SMTP HELO/EHLO enviados pelo servidor de comando e controle (C2) do malware.
Os clientes são aconselhados a verificar se seus dispositivos ESG estão atualizados, parar de usar dispositivos comprometidos e solicitar um novo dispositivo virtual ou de hardware, girar todas as credenciais vinculadas a dispositivos hackeados e verificar seus logs de rede para IOCs compartilhados hoje e para conexões de IPs desconhecidos.
A Barracuda diz que seus produtos são usados por mais de 200.000 organizações, incluindo empresas de alto perfil como Samsung, Delta Airlines, Mitsubishi e Kraft Heinz.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...