„Whirlpool“ kenkėjiška programa

Jungtinių Valstijų kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) nustatė pažangių nuolatinių grėsmių (APT) atakas, nukreiptas į anksčiau neatskleistą nulinės dienos pažeidžiamumą Barracuda Email Security Gateway (ESG) įrenginiuose.

Minėtas pažeidžiamumas, kaip nurodyta CISA įspėjime, buvo išnaudotas siekiant įdiegti Seapsy ir Whirlpool užpakalinių kenkėjiškų programų naudingąsias apkrovas į pažeistus įrenginius. CISA pranešė, kad jiems pavyko gauti keturis įdiegtų kenkėjiškų programų pavyzdžius, įskaitant Seapsy ir Whirlpool užpakalines duris. Įrenginio kompromisas įvyko per grėsmės veikėjus, pasinaudojus Barracuda ESG saugumo spraga. Šis pažeidžiamumas, stebimas kaip CVE-2023-2868, leidžia nuotoliniu būdu vykdyti komandas ESG įrenginiuose, veikiančiuose nuo 5.1.3.001 iki 9.2.0.006.

„Whirlpool“ kenkėjiška programa sukuria užpakalinių durų ryšį su pažeistomis sistemomis

Seapsy yra gerai žinomas ir ilgalaikis kaltininkas Barracuda nusikaltimų srityje. Ji tinkamai užmaskuojama kaip tikra „Barracuda“ paslauga pavadinimu „BarracudaMailService“, leidžianti grėsmės veikėjams vykdyti savavališkas komandas ESG įrenginyje. Priešingai, „Whirlpool“ yra naujas įžeidžiantis užpakalinis durelis, kurį užpuolikai naudoja tam, kad užmegztų saugų ryšį Transport Layer Security (TLS) atvirkštinio apvalkalo pavidalu atgal į komandų ir valdymo (C2) serverį.

Pažymėtina, kad „Whirlpool“ buvo nustatytas kaip 32 bitų vykdomasis ir susiejamas formatas (ELF). Jis veikia gaudamas du svarbius argumentus – C2 IP adresą ir prievado numerį – iš konkretaus modulio. Šie parametrai yra būtini inicijuojant anksčiau minėto Transport Layer Security (TLS) atvirkštinio apvalkalo sukūrimą.

Norėdami pasigilinti toliau, TLS atvirkštinio apvalkalo metodas yra kibernetinėse atakose naudojama technika, padedanti sukurti saugų ir užšifruotą ryšio kanalą tarp pažeistos sistemos ir serverio, kurį valdo užpuolikai. Deja, modulio, kuris pateikia esminius šio proceso argumentus, CISA nebuvo galima analizuoti.

Be Seapsy ir Whirlpool, buvo aptikta keletas kitų užpakalinių durų atmainų, išnaudotų Barracuda ESG pažeidžiamumo vietose, įskaitant Saltwater, Submarine ir Seaside.

CVE-2023-2868 tapo svarbia Barracuda problema

Pažeidžiamumas, turintis įtakos ESG, virto nerimą keliančiu išbandymu Barracuda, greitai susidūrus su išnaudojimų antplūdžiu po to, kai 2022 m. spalio mėn. buvo aptiktas nulinės dienos pažeidžiamumas. Šių metų gegužės mėn. bendrovė oficialiai pripažino pažeidžiamumo egzistavimą ir nedelsiant išleisti pataisymai problemai išspręsti.

Tačiau po kelių dienų „Barracuda“ paskelbė įspėjamąjį pranešimą savo klientams, patardama pakeisti potencialiai pažeidžiamus prietaisus, ypač tuos, kurie veikia nuo 5.1.3.001 iki 9.2.0.006, net jei pataisos buvo uždėtos. Net po kelių mėnesių CISA įrodymai rodo, kad vykdomi išnaudojimai išlieka, todėl kyla klausimų dėl Barracuda strategijos veiksmingai išspręsti problemą.