Whirlpool ļaunprātīga programmatūra

Amerikas Savienoto Valstu Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir identificējusi Advanced Persistent Threat (APT) uzbrukumus, kuru mērķis ir Barracuda Email Security Gateway (ESG) ierīču iepriekš neizpausta nulles dienas ievainojamība.

Attiecīgā ievainojamība, kā norādīts CISA brīdinājumā, tika izmantota, lai apdraudētajās ierīcēs ieviestu Seapsy un Whirlpool aizmugures ļaunprātīgas programmatūras slodzes. CISA ir ziņojusi, ka viņiem ir izdevies iegūt četrus izvietoto ļaunprātīgas programmatūras draudu paraugus, tostarp Seapsy un Whirlpool aizmugures durvis. Ierīces kompromiss radās, izmantojot apdraudējuma dalībniekus, izmantojot Barracuda ESG drošības nepilnības. Šī ievainojamība, kas izsekota kā CVE-2023-2868, nodrošina attālo komandu izpildi ESG ierīcēs, kas darbojas no 5.1.3.001 līdz 9.2.0.006.

Whirlpool ļaunprogrammatūra izveido backdoor savienojumu ar bojātām sistēmām

Seapsy ir plaši pazīstams un ilgstošs vaininieks Barracuda likumpārkāpumu jomā. Tas lieliski maskējas kā īsts Barracuda pakalpojums ar nosaukumu BarracudaMailService, ļaujot apdraudējuma dalībniekiem izpildīt patvaļīgas komandas ESG ierīcē. Pretstatā Whirlpool ir jaunas aizskarošas aizmugures durvis, ko uzbrucēji izmanto, lai izveidotu drošu savienojumu transporta slāņa drošības (TLS) reversā apvalka veidā atpakaļ uz Command-and-Control (C2) serveri.

Jo īpaši Whirlpool tika identificēts kā 32 bitu izpildāms un saistāms formāts (ELF). Tas darbojas, saņemot divus kritiskus argumentus — C2 IP adresi un porta numuru — no konkrēta moduļa. Šie parametri ir būtiski, lai uzsāktu iepriekš minētā transporta slāņa drošības (TLS) reversā apvalka izveidi.

Lai padziļinātu, TLS reversā apvalka metode kalpo kā paņēmiens, ko izmanto kiberuzbrukumos, lai izveidotu drošu un šifrētu sakaru kanālu starp apdraudētu sistēmu un serveri, ko kontrolē uzbrucēji. Diemžēl modulis, kas sniedz būtiskos argumentus šim procesam, nebija pieejams CISA analīzei.

Papildus Seapsy un Whirlpool tika atklāti daži citi aizmugures celmi, kas tika izmantoti Barracuda ESG ievainojamībā, tostarp Saltwater, Submarine un Seaside.

CVE-2023-2868 ir kļuvusi par nozīmīgu problēmu Barracuda

Ievainojamība, kas ietekmē ESG, ir kļuvusi par satraucošu pārbaudījumu Barracuda, strauji sastopoties ar ekspluatāciju pieaugumu pēc nulles dienas ievainojamības atklāšanas 2022. gada oktobrī. Šā gada maijā uzņēmums oficiāli atzina ievainojamības esamību un nekavējoties izlaisti ielāpi, lai atrisinātu problēmu.

Tomēr tikai dažas dienas vēlāk Barracuda izdeva brīdinājuma paziņojumu saviem klientiem, iesakot nomainīt potenciāli neaizsargātās ierīces, īpaši tās, kas darbojas no 5.1.3.001 līdz 9.2.0.006, pat ja ielāpi bija uzlikti. Pat pēc mēnešiem CISA iegūtie pierādījumi liecina, ka turpinās ekspluatācija, atstājot jautājumus par Barracuda stratēģiju, lai efektīvi atrisinātu šo problēmu.