Malware Whirlpool

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha identificato attacchi APT (Advanced Persistent Threat) mirati a una vulnerabilità zero-day precedentemente sconosciuta nelle appliance Barracuda Email Security Gateway (ESG).

La vulnerabilità in questione, come delineato in un avviso CISA, è stata sfruttata per introdurre payload di malware backdoor Seapsy e Whirlpool sui dispositivi compromessi. CISA ha riferito di essere riuscita a ottenere quattro campioni delle minacce malware implementate, che includono le backdoor Seapsy e Whirlpool. La compromissione del dispositivo è avvenuta attraverso gli attori delle minacce che hanno sfruttato il divario di sicurezza nel Barracuda ESG. Questa vulnerabilità, tracciata come CVE-2023-2868, consente l'esecuzione di comandi remoti su appliance ESG che eseguono le versioni da 5.1.3.001 a 9.2.0.006.

Il malware Whirlpool stabilisce una connessione backdoor ai sistemi violati

Seapsy è un noto e duraturo colpevole nel regno dei reati di Barracuda. Si maschera abilmente da vero e proprio servizio Barracuda sotto il nome di "BarracudaMailService", consentendo agli attori delle minacce di eseguire comandi arbitrari sull'appliance ESG. In una nota contrastante, Whirlpool rappresenta una nuova backdoor offensiva sfruttata dagli aggressori per stabilire una connessione sicura sotto forma di una shell inversa Transport Layer Security (TLS) al server Command-and-Control (C2).

In particolare, Whirlpool è stato identificato come formato eseguibile e collegabile a 32 bit (ELF). Funziona ricevendo due argomenti critici, indirizzo IP C2 e numero di porta, da un modulo specifico. Questi parametri sono essenziali per avviare la creazione del suddetto reverse shell TLS (Transport Layer Security).

Per approfondire, il metodo della shell inversa TLS funge da tecnica impiegata negli attacchi informatici, funzionando per stabilire un canale di comunicazione sicuro e crittografato tra un sistema compromesso e un server sotto il controllo degli aggressori. Purtroppo, il modulo che fornisce gli argomenti essenziali per questo processo non era disponibile per l'analisi da parte del CISA.

Oltre a Seapsy e Whirlpool, sono state scoperte una manciata di altre varietà backdoor sfruttate nelle vulnerabilità ESG di Barracuda, tra cui Saltwater, Submarine e Seaside.

CVE-2023-2868 si è trasformato in un problema significativo per Barracuda

La vulnerabilità che interessa l'ESG si è evoluta in un preoccupante calvario per Barracuda, incontrando rapidamente un'ondata di exploit in seguito alla scoperta della vulnerabilità zero-day nell'ottobre 2022. Nel maggio dell'anno in corso, la società ha riconosciuto ufficialmente l'esistenza della vulnerabilità e patch prontamente rilasciate per risolvere il problema.

Tuttavia, pochi giorni dopo, Barracuda ha rilasciato una dichiarazione cautelare ai propri clienti, consigliando loro di sostituire gli apparecchi potenzialmente vulnerabili, in particolare quelli che eseguono le versioni da 5.1.3.001 a 9.2.0.006, anche se le patch erano state applicate. Anche mesi dopo, le prove del CISA suggeriscono che gli exploit in corso persistono, lasciando dubbi sulla strategia di Barracuda per risolvere la questione in modo efficace.