Programari maliciós Whirlpool

L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha identificat atacs d'amenaça persistent avançada (APT) dirigits a una vulnerabilitat de dia zero no revelada prèviament als dispositius Barracuda Email Security Gateway (ESG).

La vulnerabilitat en qüestió, tal com es descriu en una alerta CISA, es va aprofitar per introduir càrregues útils de programari maliciós de porta posterior de Seapsy i Whirlpool als dispositius compromesos. CISA ha informat que han aconseguit obtenir quatre mostres de les amenaces de programari maliciós desplegades, que inclouen les portes del darrere de Seapsy i Whirlpool. El compromís del dispositiu va transcórrer a través d'actors d'amenaça que van aprofitar la bretxa de seguretat del Barracuda ESG. Aquesta vulnerabilitat, rastrejada com a CVE-2023-2868, permet l'execució remota d'ordres a les versions operatives d'aparells ESG de la 5.1.3.001 a la 9.2.0.006.

El programari maliciós Whirlpool estableix una connexió de porta posterior amb sistemes trencats

Seapsy és un culpable conegut i perdurable dins del regne dels delictes de Barracuda. Es disfressa hàbilment com un veritable servei Barracuda amb el nom de "BarracudaMailService", que permet als actors d'amenaça executar ordres arbitràries a l'aparell ESG. En una nota contrastada, Whirlpool representa una nova porta del darrere ofensiva aprofitada pels atacants per establir una connexió segura en forma d'intèrpret inversa de seguretat de la capa de transport (TLS) al servidor de comandament i control (C2).

En particular, Whirlpool es va identificar com un format executable i enllaçable (ELF) de 32 bits. Funciona rebent dos arguments crítics (adreça IP C2 i número de port) d'un mòdul específic. Aquests paràmetres són essencials per iniciar l'establiment de l'esmentada intèrpret inversa de seguretat de la capa de transport (TLS).

Per aprofundir més enllà, el mètode de l'intèrpret invers TLS serveix com a tècnica emprada en ciberatacs, que funciona per establir un conducte de comunicació segur i xifrat entre un sistema compromès i un servidor sota el control dels atacants. Malauradament, el mòdul que proporciona els arguments essencials per a aquest procés no estava disponible per a l'anàlisi de CISA.

A més de Seapsy i Whirlpool, es van descobrir un bon grapat d'altres soques de la porta del darrere explotades a les vulnerabilitats ESG de Barracuda, com ara Saltwater, Submarine i Seaside.

CVE-2023-2868 s'ha convertit en un problema important per a Barracuda

La vulnerabilitat que afecta l'ESG s'ha convertit en un calvari preocupant per a Barracuda, trobant-se ràpidament amb un augment d'explotacions després del descobriment de la vulnerabilitat de dia zero l'octubre de 2022. Al maig de l'any en curs, la companyia va reconèixer oficialment l'existència de la vulnerabilitat i Pedaços llançats ràpidament per solucionar el problema.

Tanmateix, pocs dies després, Barracuda va emetre una advertència als seus clients, aconsellant-los que substituïssin els aparells potencialment vulnerables, concretament les versions operatives de la 5.1.3.001 a la 9.2.0.006, encara que s'haguessin aplicat els pegats. Fins i tot mesos més tard, l'evidència de CISA suggereix que les explotacions en curs persisteixen, deixant preguntes sobre l'estratègia de Barracuda per resoldre el problema de manera eficaç.