Zlonamjerni softver Whirlpool

Agencija Sjedinjenih Američkih Država za kibersigurnost i sigurnost infrastrukture (CISA) identificirala je napade Advanced Persistent Threat (APT) koji ciljaju prethodno neobjavljenu ranjivost zero-day u uređajima Barracuda Email Security Gateway (ESG).

Dotična ranjivost, kako je navedeno u upozorenju CISA-e, iskorištena je za uvođenje Seapsy i Whirlpool backdoor zlonamjernog softvera na kompromitirane uređaje. CISA je izvijestila da su uspjeli dobiti četiri uzorka postavljenih prijetnji zlonamjernog softvera, koji uključuju Seapsy i Whirlpool stražnja vrata. Kompromitiranje uređaja pokazalo se kroz prijetnje koje su iskoristile sigurnosni jaz u Barracuda ESG. Ova ranjivost, praćena kao CVE-2023-2868, omogućuje daljinsko izvršavanje naredbi na ESG uređajima koji rade u verzijama od 5.1.3.001 do 9.2.0.006.

Zlonamjerni softver Whirlpool uspostavlja backdoor vezu s oštećenim sustavima

Seapsy je dobro poznat i trajan krivac u području prijestupa Barracuda. Vješto se maskira kao prava Barracuda usluga pod imenom 'BarracudaMailService', dopuštajući akterima prijetnji da izvršavaju proizvoljne naredbe na ESG uređaju. Suprotno tome, Whirlpool predstavlja nova ofenzivna stražnja vrata koja napadači koriste za uspostavljanje sigurne veze u obliku obrnute ljuske Transport Layer Security (TLS) natrag na Command-and-Control (C2) poslužitelj.

Naime, Whirlpool je identificiran kao 32-bitni izvršni i povezivi format (ELF). Djeluje tako da prima dva kritična argumenta — C2 IP adresu i broj porta — od određenog modula. Ovi su parametri bitni za pokretanje uspostave prethodno spomenute obrnute ljuske Transport Layer Security (TLS).

Da istražimo dalje, metoda obrnute ljuske TLS služi kao tehnika koja se koristi u kibernetičkim napadima, funkcionirajući za uspostavljanje sigurnog i šifriranog komunikacijskog kanala između kompromitiranog sustava i poslužitelja pod kontrolom napadača. Nažalost, modul koji daje bitne argumente za ovaj proces nije bio dostupan za analizu CISA-e.

Uz Seapsy i Whirlpool, otkriveno je nekoliko drugih backdoor vrsta iskorištenih u Barracuda ESG ranjivostima, uključujući Saltwater, Submarine i Seaside.

CVE-2023-2868 se pretvorio u značajan problem za Barracudu

Ranjivost koja utječe na ESG evoluirala je u zabrinjavajuće iskušenje za Barracudu, brzo nailazeći na porast eksploatacija nakon otkrića ranjivosti nultog dana u listopadu 2022. U svibnju tekuće godine, tvrtka je službeno priznala postojanje ranjivosti i odmah objavljene zakrpe za rješavanje problema.

Međutim, samo nekoliko dana kasnije, Barracuda je izdala upozorenje svojim korisnicima, savjetujući im da zamijene potencijalno ranjive uređaje, posebno one operativne verzije od 5.1.3.001 do 9.2.0.006, čak i ako su zakrpe primijenjene. Čak i mjesecima kasnije, dokazi iz CISA-e sugeriraju da su eksploatacije u tijeku i dalje, ostavljajući pitanja u vezi s Barracudinom strategijom da učinkovito riješi problem.