Barracuda déclare que la compromission récemment découverte de quelques-unes des appliances ESG de ses clients via une vulnérabilité zero-day (CVE-2023-2868) a conduit à la mise en œuvre de 3 types de logiciels malveillants et à l’exfiltration d’informations.
L’entreprise n’a pas précisé combien d’organisations ont effectivement été violées, mais a confirmé que « la première preuve reconnue d’exploitation de CVE-2023-2868 est actuellement octobre 2022 ».
Zeor-day Exploited, Barracuda ESG appliances backdoor
Le 23 mai, Barracuda Networks a ouvertement reconnu que les attaquants avaient en fait utilisé CVE-2023-2868 pour violer l’Email Security Entry sur -prem physical devices dans diverses organisations.
Aujourd’hui, ils ont confirmé que le tout premier spot, qui corrigeait la vulnérabilité d’injection de commande à distance, avait été utilisé sur tous les appareils ESG dans le monde le 20 mai, et était suivi d’un script qui a été « déployé sur tous les appareils concernés pour contenir l’incident et contrer les approches d’accès non approuvées ».
Avec l’aide de professionnels de la cybersécurité de Mandiant, ils ont découvert qu’au moins trois charges utiles nuisibles différentes avaient été larguées sur appareils ménagers concernés :
- SALTWATER, un module trojanisé pour le démon SMTP Barracuda (bsmtpd), qui fonctionne comme une porte dérobée dotée de capacités de proxy et de tunnel et permet aux opposants de soumettre ou télécharger des fichiers arbitraires et exécuter des commandes.
- SEASPY, une porte dérobée de persévérance féerique x64 qui se fait passer pour un service légitime de Barracuda Networks et s’impose comme un filtre PCAP, en surveillant spécifiquement trafic sur le port 25 (SMTP)
- BEACH, un module basé sur Lua pour le démon Barracuda SMTP (bsmtpd) qui établit une connexion au serveur C2 des adversaires et aide à développer un reverse shell (pour fournir l’accès au système)
Il existe un chevauchement de code entre SEASPY et cd00r, une porte dérobée PoC accessible au public, a déclaré l’entreprise, mais le logiciel malveillant n’a pas encore été liés à des acteurs de danger spécifiques.
Recommandations pour les consommateurs concernés
Les recommandations de Barracuda aux consommateurs ESG concernés – qui ont également été signalés en privé – sont les suivantes :
- Garantie que l’appliance reçoit et utilise les mises à jour et les points de sécurité de Barracuda
- Si possible, débarrassez-vous de l’appliance ESG compromise et contactez l’entreprise pour obtenir une nouvelle appliance virtuelle ou matérielle ESG
- Faites pivoter toutes les informations d’identification liées à l’appliance ESG
- Journaux du réseau d’évaluation et recherchez les IOC et les IP partagés par l’entreprise
Barracuda a également proposé des directives YARA pour aider les organisations à rechercher le fichier TAR nuisible qui exploite CVE-2023-2868.
« Une série de points de sécurité sont déployés sur tous les appareils dans le cadre de notre méthode de confinement », a ajouté la société, mais n’a pas donné plus de détails.
Toute l’actualité en temps réel, est sur L’Entrepreneur
