व्हर्लपूल मालवेयर

संयुक्त राज्यको साइबरसुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) ले ब्याराकुडा इमेल सेक्युरिटी गेटवे (ESG) उपकरणहरूमा पहिले अज्ञात शून्य-दिन जोखिमलाई लक्षित गर्दै उन्नत पर्सिस्टेन्ट थ्रेट (APT) आक्रमणहरू पहिचान गरेको छ।

CISA अलर्टमा उल्लिखित प्रश्नमा रहेको कमजोरीलाई सिप्सी र व्हर्लपूल ब्याकडोर मालवेयर पेलोडहरू सम्झौता गरिएका यन्त्रहरूमा प्रस्तुत गर्न प्रयोग गरिएको थियो। CISA ले रिपोर्ट गरेको छ कि तिनीहरूले तैनात मालवेयर खतराहरूको चार नमूनाहरू प्राप्त गर्न व्यवस्थित गरेका छन्, जसमा Seapsy र Whirlpool ब्याकडोरहरू समावेश छन्। यन्त्रको सम्झौता ब्याराकुडा ESG मा सुरक्षा खाडललाई पूंजीकरण गर्ने खतरा अभिनेताहरू मार्फत पारियो। CVE-2023-2868 को रूपमा ट्र्याक गरिएको यो भेद्यताले ESG उपकरण सञ्चालन संस्करण 5.1.3.001 देखि 9.2.0.006 मा रिमोट कमाण्ड कार्यान्वयन सक्षम गर्दछ।

व्हर्लपूल मालवेयरले तोडिएका प्रणालीहरूमा ब्याकडोर जडान स्थापना गर्दछ

सिप्सी बाराकुडा अपराधको दायरा भित्र एक प्रसिद्ध र स्थायी अपराधी हो। यसले 'BarracudaMailService' नाम अन्तर्गत एक वास्तविक बाराकुडा सेवाको रूपमा आफुलाई कुशलतापूर्वक भेषमा राख्छ, जसले खतरा अभिनेताहरूलाई ESG उपकरणमा मनमानी आदेशहरू कार्यान्वयन गर्न दिन्छ। एक विपरित नोटमा, व्हर्लपूलले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा ट्रान्सपोर्ट लेयर सेक्युरिटी (TLS) रिभर्स शेलको रूपमा सुरक्षित जडान स्थापना गर्न आक्रमणकारीहरूद्वारा प्रयोग गरिएको नयाँ आपत्तिजनक ब्याकडोर प्रतिनिधित्व गर्दछ।

उल्लेखनीय रूपमा, व्हर्लपूललाई 32-बिट कार्यान्वयनयोग्य र लिङ्कयोग्य ढाँचा (ELF) को रूपमा पहिचान गरिएको थियो। यो एक विशेष मोड्युलबाट दुई महत्वपूर्ण तर्कहरू - C2 IP ठेगाना र पोर्ट नम्बर प्राप्त गरेर सञ्चालन गर्दछ। यी प्यारामिटरहरू माथि उल्लिखित यातायात तह सुरक्षा (TLS) रिभर्स शेलको स्थापना सुरु गर्न आवश्यक छन्।

थप जानकारीको लागि, TLS रिभर्स शेल विधिले साइबर आक्रमणहरूमा प्रयोग गरिने प्रविधिको रूपमा काम गर्दछ, एक सम्झौता प्रणाली र आक्रमणकारीहरूको नियन्त्रणमा रहेको सर्भर बीच सुरक्षित र इन्क्रिप्टेड सञ्चार कन्ड्युट स्थापना गर्न कार्य गर्दछ। दुर्भाग्यवश, यस प्रक्रियाको लागि आवश्यक तर्कहरू प्रस्तुत गर्ने मोड्युल CISA द्वारा विश्लेषणको लागि उपलब्ध थिएन।

Seapsy र Whirlpool को अतिरिक्त, Barracuda ESG कमजोरीहरूमा शोषण गरिएका अन्य मुट्ठीभर अन्य ब्याकडोर स्ट्रेनहरू पत्ता लगाइयो, जसमा साल्टवाटर, पनडुब्बी, र समुद्री किनारहरू समावेश छन्।

CVE-2023-2868 बाराकुडाको लागि महत्त्वपूर्ण मुद्दामा परिणत भएको छ

ESG लाई असर गर्ने जोखिमले अक्टोबर २०२२ मा शून्य-दिनको जोखिमको खोजी पछि शोषणमा द्रुत बृद्धिको सामना गर्दै, बाराकुडाको लागि एक चिन्ताजनक परीक्षाको रूपमा विकसित भएको छ। चालू वर्षको मेमा, कम्पनीले आधिकारिक रूपमा जोखिमको अस्तित्वलाई स्वीकार गर्‍यो र मुद्दालाई सम्बोधन गर्न तुरुन्तै प्याचहरू जारी गरियो।

यद्यपि, केही दिन पछि, Barracuda ले आफ्ना ग्राहकहरूलाई सम्भावित रूपमा कमजोर उपकरणहरू, विशेष गरी ती अपरेटिङ संस्करणहरू 5.1.3.001 देखि 9.2.0.006 सम्म, प्याचहरू लागू गरिएको भए पनि प्रतिस्थापन गर्न सल्लाह दिँदै आफ्ना ग्राहकहरूलाई सावधानीपूर्ण बयान जारी गर्‍यो। महिनौं पछि पनि, CISA बाट प्रमाणहरूले सुझाव दिन्छ कि चलिरहेको शोषण जारी छ, यस मामिलालाई प्रभावकारी रूपमा समाधान गर्न Barracuda को रणनीति सम्बन्धी प्रश्नहरू छोडेर।