بدافزار Whirlpool
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) حملات Advanced Persistent Threat (APT) را شناسایی کرده است که آسیب پذیری روز صفر را که قبلاً فاش نشده بود در ابزارهای دروازه امنیتی ایمیل Barracuda (ESG) هدف قرار می دهد.
آسیبپذیری مورد بحث، همانطور که در هشدار CISA مشخص شده است، برای معرفی بارهای بدافزار در پشتی Seapsy و Whirlpool به دستگاههای در معرض خطر مورد سوء استفاده قرار گرفت. CISA گزارش داده است که آنها موفق به دستیابی به چهار نمونه از تهدیدات بدافزار مستقر شدهاند که شامل درهای پشتی Seapsy و Whirlpool میشود. سازش این دستگاه از طریق عوامل تهدید که بر شکاف امنیتی در Barracuda ESG سرمایه گذاری کردند، رخ داد. این آسیبپذیری که بهعنوان CVE-2023-2868 ردیابی میشود، اجرای فرمان از راه دور را در دستگاههای ESG نسخههای 5.1.3.001 تا 9.2.0.006 را امکانپذیر میکند.
بدافزار Whirlpool یک اتصال درب پشتی به سیستم های شکسته ایجاد می کند
سیپسی یک مجرم شناخته شده و ماندگار در قلمرو جرایم باراکودا است. این به طرز ماهرانه ای خود را به عنوان یک سرویس Barracuda واقعی تحت نام "BarracudaMailService" پنهان می کند و به عوامل تهدید امکان اجرای دستورات دلخواه را بر روی دستگاه ESG می دهد. در یک نکته متضاد، Whirlpool یک درپشتی تهاجمی جدید را نشان میدهد که توسط مهاجمان برای ایجاد یک اتصال امن در قالب یک پوسته معکوس امنیت لایه حمل و نقل (TLS) به سرور Command-and-Control (C2) باز میگردد.
قابل ذکر است، Whirlpool به عنوان یک فرمت اجرایی و پیوندی 32 بیتی (ELF) شناسایی شد. این با دریافت دو آرگومان مهم - آدرس IP C2 و شماره پورت - از یک ماژول خاص عمل می کند. این پارامترها در شروع ایجاد پوسته معکوس امنیت لایه حمل و نقل (TLS) فوق ضروری هستند.
برای بررسی بیشتر، روش پوسته معکوس TLS به عنوان تکنیکی به کار می رود که در حملات سایبری به کار می رود و برای ایجاد یک مجرای ارتباطی امن و رمزگذاری شده بین یک سیستم در معرض خطر و یک سرور تحت کنترل مهاجمان عمل می کند. متأسفانه، ماژولی که استدلال های اساسی برای این فرآیند را ارائه می دهد برای تجزیه و تحلیل توسط CISA در دسترس نبود.
علاوه بر Seapsy و Whirlpool، تعداد انگشت شماری از گونههای درب پشتی دیگر که در آسیبپذیریهای Barracuda ESG مورد بهرهبرداری قرار گرفتهاند، کشف شدند، از جمله Saltwater، Submarine و Seaside.
CVE-2023-2868 به یک مسئله مهم برای باراکودا تبدیل شده است
آسیبپذیری مؤثر بر ESG به یک مصیبت نگرانکننده برای Barracuda تبدیل شده است و بهسرعت با افزایش اکسپلویتها پس از کشف آسیبپذیری روز صفر در اکتبر 2022 مواجه شد. در ماه می سال جاری، این شرکت رسما وجود این آسیبپذیری را تأیید کرد و به سرعت وصله هایی را برای رفع مشکل منتشر کرد.
با این حال، تنها چند روز بعد، Barracuda یک بیانیه احتیاطی به مشتریان خود صادر کرد و به آنها توصیه کرد که دستگاه های بالقوه آسیب پذیر، به ویژه آن دسته از نسخه های عامل 5.1.3.001 تا 9.2.0.006 را جایگزین کنند، حتی اگر وصله ها اعمال شده باشند. حتی ماهها بعد، شواهدی از CISA نشان میدهد که سوء استفادههای جاری همچنان ادامه دارد و سؤالاتی در مورد استراتژی باراکودا برای حل مؤثر این موضوع ایجاد میکند.