Barracuda 网络安全网关零日漏洞研究揭示新恶意负载

重点摘要

最新研究揭示了一个已修复的 Barracuda网络邮箱安全网关中的零日漏洞，这一漏洞在被修补之前已经被利用数月，且此攻击涉及三个先前未知的恶意负载。而负责此次网络攻击的对手依然难以捉摸。

Barracuda Networks 于 5 月 19 日披露了这一关键漏洞
()，并在次日为其受影响的
ESG 设备应用了一系列补丁。该漏洞是一种远程命令注入漏洞，CVSS 基础分数为 9.4，源于设备内部一个用于筛选传入电子邮件附件的模块。

Barracuda 在声明中表示：“如果客户没有通过 ESG 用户界面收到我们的通知，我们没有理由相信他们的环境受到影响，目前客户无需采取任何措施。”

CVE-2023-2868 的外部分析发现

Barracuda 聘请了网络安全公司 Mandiant 协助调查此事件，并于 5 月 30 日发布了一份更新，概述了其初步发现。

更新中指出，证据显示该漏洞可能早在 2022 年 10 月就已被恶意利用。该漏洞允许恶意软件在某些设备上被放置，攻击者得以获得持续的后门访问权限。

Barracuda 在更新中表示：“在受影响的设备中发现了数据外泄的证据。”

“该漏洞源于对用户提供的 .tar（磁带归档）文件的文件名的输入验证不完整。因此，远程攻击者可以以特定方式格式化文件名，从而通过 Perl 的 qx操作符以 Email Security Gateway 产品的权限远程执行系统命令。”

到目前为止，已识别的三个恶意负载之一被称为 SaltWater，描述为一个包含后门功能的 Barracuda SMTP守护进程（bsmtpd）的特洛伊模块。它的功能包括上传或下载文件、执行命令，并进行代理和隧道活动。

归属与负载分析

Barracuda 表示，Mandiant 仍在继续分析 SaltWater，以确定其特征是否与任何已知恶意软件家族重叠。

第二个负载 SeaSpy 是“一个 x64 ELF 持久后门，伪装成一个合法的 Barracuda Networks 服务，并作为
PCAP（数据包捕获）过滤器建立自身，专门监控 25 端口（SMTP）上的流量。”

Mandiant 的分析发现 SeaSpy 与 cd00r 存在共享代码，cd00r 是一个长期存在的公开后门。

第三个恶意软件 SeaSide 是一个基于 Lua 的模块，用于连接攻击者的指挥与控制服务器，以建立反向 shell 来访问系统。

Barracuda 的更新提供了与此次攻击相关的妥协指标的详细信息，以及可由设备操作员应用以搜索利用此漏洞的恶意 .tar 文件的 YARA 规则。

公司表示，如果客户发现其 ESG 设备被入侵，应立即停止使用并联系 Barracuda 支持以获得新的设备。

Barracuda 还表示，其其他产品，包括其 SaaS 邮件安全服务，未受到该漏洞的影响。

Barracuda 漏洞时间线如下：

日期 | 事件描述
—|—
2023 年 5 月 18 日 | Barracuda 收到了来自 Barracuda 邮箱安全网关（ESG）设备的异常流量警报。
2023 年 5 月 18 日 | Barracuda 聘请全球网络安全专家 Mandiant 协助调查。
2023 年 5 月 19 日 | Barracuda 在其邮箱安全网关设备（ESG）中发现了一个漏洞（CVE-2023-28681）。
2023 年 5 月 20 日 | 向全球所有 ESG 设备应用了修补此漏洞的安全补丁。
2023 年 5 月 21 日 | 向所有受影响的设备部署了一脚本，以遏制事件并抵御未经授权的访问。
后续措施 | 将向所有设备部署系列安全补丁，以支持我们的遏制策略。

*上述