Barracuda Networks ESG Appliance Zero Day vulnerability
Se detecto una vulnerabilidad de inyección de código remoto en el producto Email Security Gateway (ESG) de Barracuda Networks.
El día viernes 19 de mayo fue descubierta en el módulo de análisis de archivos adjuntos del correo electrónico, la falla fue parchada entre el 20 y el 21 de Mayo. Sin embargo, El equipo de Barracuda advirtió que algunos de los ESG fueron comprometidos al ser explotada la vulnerabilidad que fue parchada ese fin de semana.
"Según nuestra investigación hasta la fecha, hemos identificado que la vulnerabilidad resultó en el acceso no autorizado a un subconjunto de dispositivos de puerta de enlace de correo electrónico... Los usuarios cuyos dispositivos creemos que se vieron afectados han sido notificados a través de la interfaz de usuario de ESG sobre las acciones a tomar. Barracuda también se ha comunicado con estos clientes específicos...” Así lo expreso la empresa a través de su comunicado.
La vulnerabilidad se deriva de la validación de entrada incompleta de un archivo .tar proporcionado por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. Como consecuencia, un atacante remoto puede formatear estos nombres de archivo de una manera particular que resultará en la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway.
Este problema se solucina con el parche BNSF-36456. Este parche se aplicó automáticamente a todos los dispositivos de Barracuda. Los demás productos no se vieron afectados por esta vulnerabilidad.
Malware IOCs:
| SALTWATER | mod_udp.so 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4 |
| SEASPY | BarracudaMailService f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115 |
| SEASIDE | mod_require_helo.lua fa8996766ae347ddcbbd1818fe3a878272653601a347d76ea3d5dfc227cd0bc8 |
Endpoint IOCs:
Hash asociados a la actividad de los atacantes.
| appcheck.sh | N/A | Bash script |
| aacore.sh | N/A | Bash script |
| 1.sh | N/A | Bash script |
| mod_udp.so | 827d507aa3bde0ef903ca5dec60cdec8 | SALTWATER Variant |
| intent | N/A | N/A |
| install_helo.tar | 2ccb9759800154de817bf779a52d48f8 | TAR Package |
| intent_helo | f5ab04a920302931a8bd063f27b745cc | Bash script |
| pd | 177add288b289d43236d2dba33e65956 | Reverse Shell |
| update_v31.sh | 881b7846f8384c12c7481b23011d8e45 | Bash script |
| mod_require_helo.lua | cd2813f0260d63ad5adf0446253c2172 | SEASIDE |
| BarracudaMailService | 82eaf69de710abdc5dea7cd5cb56cf04 | SEASPY |
| BarracudaMailService | e80a85250263d58cc1a1dc39d6cf3942 | SEASPY |
| BarracudaMailService | 5d6cba7909980a7b424b133fbac634ac | SEASPY |
| BarracudaMailService | 1bbb32610599d70397adfdaf56109ff3 | SEASPY |
| BarracudaMailService | 4b511567cfa8dbaa32e11baf3268f074 | SEASPY |
| BarracudaMailService | a08a99e5224e1baf569fda816c991045 | SEASPY |
| BarracudaMailService | 19ebfe05040a8508467f9415c8378f32 | SEASPY |
| mod_udp.so | 1fea55b7c9d13d822a64b2370d015da7 | SALTWATER Variant |
| mod_udp.so | 64c690f175a2d2fe38d3d7c0d0ddbb6e | SALTWATER Variant |
| mod_udp.so | 4cd0f3219e98ac2e9021b06af70ed643 | SALTWATER Variant |
Network IOCs:
IPs y Dominios asociados a la actividad de los atacantes.
| xxl17z.dnslog.cn | N/A | N/A |
| mx01.bestfindthetruth.com | N/A | N/A |
| 64.176.7.59 | AS-CHOOPA | US |
| 64.176.4.234 | AS-CHOOPA | US |
| 52.23.241.105 | AMAZON-AES | US |
| 23.224.42.5 | CloudRadium L.L.C | US |
| 192.74.254.229 | PEG TECH INC | US |
| 192.74.226.142 | PEG TECH INC | US |
| 155.94.160.72 | QuadraNet Enterprises LLC | US |
| 139.84.227.9 | AS-CHOOPA | US |
| 137.175.60.253 | PEG TECH INC | US |
| 137.175.53.170 | PEG TECH INC | US |
| 137.175.51.147 | PEG TECH INC | US |
| 137.175.30.36 | PEG TECH INC | US |
| 137.175.28.251 | PEG TECH INC | US |
| 137.175.19.25 | PEG TECH INC | US |
| 107.148.219.227 | PEG TECH INC | US |
| 107.148.219.55 | PEG TECH INC | US |
| 107.148.219.54 | PEG TECH INC | US |
| 107.148.219.53 | PEG TECH INC | US |
| 107.148.219.227 | PEG TECH INC | US |
| 107.148.149.156 | PEG TECH INC | US |
| 104.223.20.222 | QuadraNet Enterprises LLC | US |
| 103.93.78.142 | EDGENAP LTD | JP |
| 103.27.108.62 | TOPWAY GLOBAL LIMITED | HK |
| 137.175.30.86 | PEGTECHINC | US |
| 199.247.23.80 | AS-CHOOPA | DE |
| 38.54.1.82 | KAOPU CLOUD HK LIMITED | SG |
| 107.148.223.196 | PEGTECHINC | US |
| 23.224.42.29 | CNSERVERS | US |
| 137.175.53.17 | PEGTECHINC | US |
| 103.146.179.101 | GIGABITBANK GLOBAL | H |
Versiones Afectadas
- Barracuda Email Security Gateway (ESG) Appliance
Recomendaciones
El día 06 de junio, Barracuda Networks, actualizo el estatus de la vulnerabilidad en su portal web.
Se notifico que los equipos afectados fueran reemplazados en la brevedad posible, independientemente del parche de seguridad que tengan dichos equipos.
Es poco común que un fabricante notifique esto a sus clientes. ¿A caso la falla y el daño es irremediable? ¿A caso no se ha encontrado una solución que garantice la eliminación del backdoor? Son especulaciones que surgen del desconcierte de los clientes que tuvieron afectación en sus equipos.
Hasta el día de hoy el equipo de Barracuda Networks no ha dado actualizaciones sobre el caso. Se espera que el fabricante notifique más sobre la vulnerabilidad en los próximos días.
Además de reemplazar los equipos ESG afectados, el fabricante en lista las siguientes recomendaciones:
• Asegúrese de que su dispositivo ESG reciba y aplique actualizaciones, definiciones y parches de seguridad de Barracuda. Comuníquese con el soporte de Barracuda ([email protected]) para validar si el dispositivo está actualizado.
• Suspenda el uso del dispositivo ESG comprometido y comuníquese con el soporte de Barracuda ([email protected]) para obtener un nuevo dispositivo virtual o de hardware ESG.
• Rote cualquier credencial aplicable conectada al dispositivo ESG:
A. Cualquier LDAP/AD conectado
B. Barracuda Cloud Control
C. Servidor FTP
D. PYME
E. Cualquier certificado TLS privado
• Revise sus registros de red para cualquiera de los IOC enumerados a continuación y cualquier IP desconocida. Póngase en contacto con [email protected] si se identifica alguno.
Referencias
Fuente Barracuda Networks: https://www.barracuda.com/company/legal/esg-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2023-2868
https://www.cisa.gov/news-events/alerts/2023/05/26/cisa-adds-one-known-exploited-vulnerability-catalog
