Whirlpooli pahavara

Ameerika Ühendriikide küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) on tuvastanud Advanced Persistent Threat (APT) rünnakud, mis on suunatud Barracuda Email Security Gateway (ESG) seadmetes varem avaldamata nullpäevasele haavatavusele.

Kõnealust haavatavust, nagu CISA hoiatuses kirjeldatud, kasutati Seapsy ja Whirlpooli tagaukse pahavara kandmiseks ohustatud seadmetesse. CISA on teatanud, et neil on õnnestunud hankida neli näidet juurutatud pahavaraohtudest, sealhulgas Seapsy ja Whirlpooli tagauksed. Seadme kompromiss leidis aset ohus osalejate kaudu, kes kasutasid ära Barracuda ESG turvalüngast. See haavatavus, mida jälgitakse kui CVE-2023-2868, võimaldab kaugkäskude täitmist ESG-seadmetes, mis töötavad versioonides 5.1.3.001 kuni 9.2.0.006.

Whirlpooli pahavara loob tagaukseühenduse rikutud süsteemidega

Seapsy on Barracuda kuritegude valdkonnas tuntud ja püsiv süüdlane. See maskeerib end osavalt ehtsaks Barracuda teenuseks BarracudaMailService nime all, võimaldades ohus osalejatel ESG seadmes suvalisi käske täita. Vastupidiselt kujutab Whirlpool uut ründavat tagaust, mida ründajad kasutavad turvalise ühenduse loomiseks transpordikihi turvalisuse (TLS) pöördkesta kujul tagasi Command-and-Control (C2) serveriga.

Eelkõige tuvastati Whirlpool 32-bitise käivitatava ja lingitava vorminguna (ELF). See toimib, võttes konkreetselt moodulilt vastu kaks kriitilist argumenti – C2 IP-aadress ja pordi number. Need parameetrid on olulised ülalmainitud transpordikihi turvalisuse (TLS) pöördkesta loomise algatamisel.

Täpsemalt on TLS-i pöördkesta meetod küberrünnakutes kasutatav tehnika, mis toimib turvalise ja krüpteeritud sidekanali loomiseks ohustatud süsteemi ja ründajate kontrolli all oleva serveri vahel. Kahjuks ei olnud selle protsessi jaoks olulisi argumente esitav moodul CISA jaoks analüüsimiseks saadaval.

Lisaks Seapsyle ja Whirlpoolile avastati käputäis muid tagaukse tüvesid, mida kasutati Barracuda ESG haavatavustes, sealhulgas Saltwater, Submarine ja Seaside.

CVE-2023-2868 on muutunud Barracuda jaoks oluliseks probleemiks

ESG-d mõjutav haavatavus on kujunenud Barracuda jaoks murettekitavaks katsumuseks, pärast seda, kui 2022. aasta oktoobris avastati nullpäeva haavatavus, tekkis kiiresti ärakasutamine. Käesoleva aasta mais tunnistas ettevõte ametlikult haavatavuse olemasolu ja viivitamatult välja antud plaastrid probleemi lahendamiseks.

Kuid vaid mõni päev hiljem avaldas Barracuda oma klientidele hoiatava avalduse, soovitades neil potentsiaalselt haavatavad seadmed välja vahetada, eriti need, mis töötavad versioonid 5.1.3.001 kuni 9.2.0.006, isegi kui plaastrid olid paigaldatud. Isegi kuid hiljem näitavad CISA tõendid, et käimasolevad ärakasutamised jätkuvad, jättes küsimusi Barracuda strateegia kohta probleemi tõhusaks lahendamiseks.