Une vulnérabilité critique corrigée il y a 10 jours dans le logiciel de messagerie largement utilisé de la société de sécurité informatique Barracuda Networks est activement exploitée depuis octobre. La vulnérabilité a été utilisée pour installer plusieurs logiciels malveillants dans les réseaux de grandes organisations et voler des données, a déclaré Barracuda mardi.
Le bogue logiciel, identifié comme CVE-2023-2868, est une vulnérabilité d’injection de commande à distance qui découle d’une validation d’entrée incomplète des fichiers .tar fournis par l’utilisateur, qui sont utilisés pour emballer ou archiver plusieurs fichiers. Lorsque les noms de fichiers sont formatés d’une manière particulière, un attaquant peut exécuter des commandes système via l’opérateur QX, une fonction du langage de programmation Perl qui gère les guillemets. La vulnérabilité est présente dans les versions 5.1.3.001 à 9.2.0.006 de Barracuda Email Security Gateway ; Barracuda a publié un patch il y a 10 jours.
Mardi, Barracuda a informé ses clients que CVE-2023-2868 était activement exploité depuis octobre dans des attaques qui permettaient aux acteurs de la menace d’installer plusieurs logiciels malveillants à utiliser pour exfiltrer des données sensibles hors des réseaux infectés.
“Les utilisateurs dont nous pensons que les appareils ont été impactés ont été informés via l’interface utilisateur ESG des mesures à prendre”, indique l’avis de mardi. « Barracuda a également contacté ces clients spécifiques. D’autres clients pourraient être identifiés au cours de l’enquête.
Publicité
Les logiciels malveillants identifiés à ce jour incluent les packages suivis comme Saltwater, Seaside et Seaspy. Saltwater est un module malveillant pour le démon SMTP (bsmtpd) utilisé par Barracuda ESG. Le module contient une fonctionnalité de porte dérobée qui inclut la possibilité de télécharger ou de télécharger des fichiers arbitraires, d’exécuter des commandes et de fournir des fonctionnalités de proxy et de tunneling.
Seaside est un exécutable x64 au format ELF (format exécutable et pouvant être lié), qui stocke des fichiers binaires, des bibliothèques et des vidages mémoire sur des disques dans des systèmes basés sur Linux et Unix. Il fournit une porte dérobée de persistance qui se présente comme un service légitime de Barracuda Networks et s’impose comme un filtre PCAP pour capturer les paquets de données circulant sur un réseau et effectuer diverses opérations. Seaside surveille le suivi sur le port 25, qui est utilisé pour les e-mails basés sur SMTP.
Il peut être activé à l’aide d’un “paquet magique” qui n’est connu que de l’attaquant mais qui semble inoffensif pour tous les autres. Mandiant, la société de sécurité que Barracuda a engagée pour enquêter sur les attaques, a déclaré avoir trouvé du code dans Seaspy qui chevauche la porte dérobée cd00r accessible au public.
Seaside, quant à lui, est un module pour le démon SMTP Barracuda (bsmtpd) qui surveille les commandes, y compris SMTP HELO/EHLO pour recevoir une adresse IP de commande et de contrôle et un port pour établir un shell inversé.
L’avis de mardi comprend des hachages cryptographiques, des adresses IP, des emplacements de fichiers et d’autres indicateurs de compromission associés à l’exploit de CVE-2023-2868 et à l’installation du logiciel malveillant. Les responsables de l’entreprise ont également exhorté tous les clients concernés à prendre les mesures suivantes :
- Assurez-vous que votre appliance ESG reçoit et applique les mises à jour, les définitions et les correctifs de sécurité de Barracuda. Contactez l’assistance Barracuda (support@barracuda.com) pour vérifier si l’appliance est à jour.
- Cessez d’utiliser l’appliance ESG compromise et contactez l’assistance Barracuda (support@barracuda.com) pour obtenir une nouvelle appliance virtuelle ou matérielle ESG.
- Faites pivoter les informations d’identification applicables connectées à l’appliance ESG :
o Tout LDAP/AD connecté
o Barracuda Cloud Control
o Serveur FTP
ou PME
o Tous les certificats TLS privés - Passez en revue vos journaux réseau pour l’un des [indicators of compromise] et toutes les IP inconnues. Contactez compliance@barracuda.com si vous en identifiez.
Vendredi, la Cybersecurity and Infrastructure Security Agency a ajouté CVE-2023-2868 à sa liste de vulnérabilités exploitées connues.
