Whirlpool-haittaohjelma

Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) on tunnistanut Advanced Persistent Threat (APT) -hyökkäykset, jotka kohdistuvat Barracuda Email Security Gateway (ESG) -laitteiden aiemmin julkistamattomaan nollapäivän haavoittuvuuteen.

Kyseistä haavoittuvuutta, kuten CISA-hälytyksessä esitettiin, hyödynnettiin Seapsyn ja Whirlpoolin takaoven haittaohjelmien tuomiseksi vaarantuneisiin laitteisiin. CISA on raportoinut onnistuneensa hankkimaan neljä näytettä käyttöönotetuista haittaohjelmauhkista, mukaan lukien Seapsy- ja Whirlpool-takaovet. Laitteen kompromissi tapahtui uhkatoimijoiden kautta, jotka hyödynsivät Barracuda ESG:n tietoturvavajetta. Tämä haavoittuvuus, jota jäljitetään nimellä CVE-2023-2868, mahdollistaa komentojen etäsuorittamisen ESG-laitteiden versioissa 5.1.3.001–9.2.0.006.

Whirlpool-haittaohjelma muodostaa takaoviyhteyden rikkoutuneisiin järjestelmiin

Seapsy on tunnettu ja pysyvä syyllinen Barracuda-rikosten piirissä. Se naamioituu taitavasti aidoksi Barracuda-palveluksi nimellä "BarracudaMailService", joka antaa uhkatoimijoille mahdollisuuden suorittaa mielivaltaisia komentoja ESG-laitteella. Päinvastoin, Whirlpool edustaa uutta hyökkäävää takaovea, jonka hyökkääjät valjastavat muodostamaan suojatun yhteyden TLS (Transport Layer Security) -käänteisen kuoren muodossa takaisin Command-and-Control (C2) -palvelimeen.

Erityisesti Whirlpool tunnistettiin 32-bittiseksi suoritettavaksi ja linkitettäväksi muodoksi (ELF). Se toimii vastaanottamalla kaksi kriittistä argumenttia - C2 IP-osoite ja porttinumero - tietystä moduulista. Nämä parametrit ovat välttämättömiä edellä mainitun Transport Layer Securityn (TLS) käänteisen kuoren muodostamisen aloittamisessa.

TLS:n käänteinen kuorimenetelmä toimii kyberhyökkäyksissä käytettävänä tekniikana, joka toimii luomaan suojatun ja salatun tietoliikennekanavan vaarantuneen järjestelmän ja hyökkääjien hallinnassa olevan palvelimen välille. Valitettavasti moduulia, joka tarjoaa tämän prosessin keskeiset perusteet, ei ollut saatavilla CISA:n analysoitavaksi.

Seapsyn ja Whirlpoolin lisäksi löydettiin kourallinen muita Barracuda ESG:n haavoittuvuuksissa hyödynnettyjä takaoven kantoja, mukaan lukien Saltwater, Submarine ja Seaside.

CVE-2023-2868 on muodostunut merkittäväksi ongelmaksi Barracudalle

ESG:hen vaikuttava haavoittuvuus on kehittynyt huolestuttavaksi koettelemukseksi Barracudalle, sillä se kohtasi nopeasti hyökkäyksiä sen jälkeen, kun nollapäivän haavoittuvuus löydettiin lokakuussa 2022. Kuluvan vuoden toukokuussa yhtiö tunnusti virallisesti haavoittuvuuden olemassaolon ja julkaisi viipymättä korjaustiedostoja ongelman ratkaisemiseksi.

Kuitenkin vain päiviä myöhemmin Barracuda julkaisi asiakkailleen varoituksen, jossa heitä kehotettiin vaihtamaan mahdollisesti haavoittuvat laitteet, erityisesti käyttöversiot 5.1.3.001 - 9.2.0.006, vaikka korjaustiedostot olisi asennettu. Jopa kuukausia myöhemmin CISA:n todisteet viittaavat siihen, että jatkuvat hyväksikäytöt jatkuvat, mikä jättää kysymyksiä Barracudan strategiasta ratkaista asia tehokkaasti.