La société de sécurité des réseaux et des e-mails Barracuda a révélé aujourd’hui qu’une vulnérabilité zero-day récemment corrigée avait été exploitée pendant au moins sept mois pour détourner les appliances ESG (Email Security Gateway) des clients avec des logiciels malveillants personnalisés et voler des données.

La société affirme qu’une enquête en cours a révélé que le bogue (suivi sous le nom de CVE-2023-2868) a été exploité pour la première fois en octobre 2022 pour accéder à « un sous-ensemble d’appliances ESG » et déployer des portes dérobées conçues pour fournir aux attaquants un accès persistant au compromis. systèmes.

Barracuda a également découvert des preuves que les acteurs de la menace ont volé des informations sur les appliances ESG dérobées.

La faille de sécurité a été identifiée le 19 mai, un jour après avoir été alerté du trafic suspect des appliances ESG et avoir engagé la société de cybersécurité Mandiant pour aider à l’enquête.

La société a résolu le problème le 20 mai en appliquant un correctif de sécurité à toutes les appliances ESG et a bloqué l’accès des attaquants aux appareils compromis un jour plus tard en déployant un script dédié.

Le 24 mai, il a averti les clients que leurs appliances ESG pourraient avoir été violées à l’aide du bogue du jour zéro désormais corrigé, leur conseillant d’enquêter sur leurs environnements, probablement pour s’assurer que les attaquants se déplacent latéralement vers d’autres appareils sur leur réseau.

« Une série de correctifs de sécurité sont en cours de déploiement sur toutes les appliances dans le cadre de notre stratégie de confinement », a également déclaré Barracuda aujourd’hui.

« Les utilisateurs dont nous pensons que les appareils ont été impactés ont été informés via l’interface utilisateur ESG des mesures à prendre. Barracuda a également contacté ces clients spécifiques. »

Vendredi, la CISA a ajouté la faille CVE-2023-2868 à sa liste de vulnérabilités exploitées connues, probablement comme un avertissement aux agences fédérales utilisant des appliances ESG pour vérifier sur leurs réseaux les signes d’intrusions résultant de leur compromission.

Logiciels malveillants personnalisés déployés lors de l’attaque
Plusieurs souches de logiciels malveillants jusque-là inconnues ont été découvertes au cours de l’enquête, spécialement conçues pour être utilisées sur des produits Email Security Gateway compromis.

Le premier, baptisé Saltwater, est un module de démon SMTP Barracuda (bsmtpd) qui fournit aux attaquants un accès par porte dérobée aux appareils infectés.

Ses « fonctionnalités » incluent la possibilité d’exécuter des commandes sur des appareils compromis, de transférer des fichiers et de proxy/tunnel le trafic malveillant des attaquants pour aider à échapper à la détection.

Une autre souche de logiciels malveillants déployée au cours de cette campagne et baptisée SeaSpy offre une persistance et peut être activée à l’aide de « paquets magiques ». SeaSpy aide à surveiller le trafic du port 25 (SMTP), et une partie de son code chevauche la porte dérobée passive cd00r accessible au public.

Les acteurs de la menace ont également utilisé un module malveillant bsmtpd appelé SeaSide pour établir des shells inversés via des commandes SMTP HELO/EHLO envoyées via le serveur de commande et de contrôle (C2) du logiciel malveillant.

Il est conseillé aux clients de vérifier si leurs appliances ESG sont à jour, de cesser d’utiliser des appliances violées et de demander une nouvelle appliance virtuelle ou matérielle, de faire pivoter toutes les informations d’identification liées aux appliances piratées et de vérifier leurs journaux réseau pour les IOC partagés aujourd’hui et pour les connexions de IP inconnues.

Barracuda affirme que ses produits sont utilisés par plus de 200 000 organisations, y compris des sociétés de premier plan comme Samsung, Delta Airlines, Mitsubishi et Kraft Heinz.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *