Malware Whirlpool

Agenția de Securitate Cibernetică și Infrastructură a Statelor Unite (CISA) a identificat atacuri Advanced Persistent Threat (APT) care vizează o vulnerabilitate zero-day nedezvăluită anterior în dispozitivele Barracuda Email Security Gateway (ESG).

Vulnerabilitatea în cauză, așa cum este subliniată într-o alertă CISA, a fost exploatată pentru a introduce încărcături utile de malware de tip backdoor Seapsy și Whirlpool pe dispozitivele compromise. CISA a raportat că au reușit să obțină patru mostre ale amenințărilor malware implementate, care includ ușile din spate Seapsy și Whirlpool. Compromisul dispozitivului s-a manifestat prin actorii amenințărilor care au valorificat decalajul de securitate din Barracuda ESG. Această vulnerabilitate, urmărită ca CVE-2023-2868, permite executarea comenzilor de la distanță pe versiunile de operare a dispozitivelor ESG 5.1.3.001 până la 9.2.0.006.

Programul malware Whirlpool stabilește o conexiune de tip backdoor la sistemele încălcate

Seapsy este un vinovat bine-cunoscut și de durată în domeniul infracțiunilor Barracuda. Se deghizează cu pricepere ca un serviciu Barracuda autentic sub numele „BarracudaMailService”, permițând actorilor amenințări să execute comenzi arbitrare pe dispozitivul ESG. Într-o notă contrastantă, Whirlpool reprezintă o nouă ușă din spate ofensivă valorificată de atacatori pentru a stabili o conexiune sigură sub forma unui shell invers TLS (Transport Layer Security) înapoi la serverul Command-and-Control (C2).

În special, Whirlpool a fost identificat ca un format executabil și conectabil (ELF) pe 32 de biți. Funcționează prin primirea a două argumente critice — adresa IP C2 și numărul portului — de la un anumit modul. Acești parametri sunt esențiali în inițierea stabilirii reverse shell-ului Transport Layer Security (TLS) menționat mai sus.

Pentru a aprofunda mai departe, metoda TLS reverse shell servește ca o tehnică folosită în atacurile cibernetice, funcționând pentru a stabili o conductă de comunicare sigură și criptată între un sistem compromis și un server aflat sub controlul atacatorilor. Din păcate, modulul care furnizează argumentele esențiale pentru acest proces nu a fost disponibil pentru analiza de către CISA.

În plus față de Seapsy și Whirlpool, au fost descoperite o mână de alte tulpini backdoor exploatate în vulnerabilitățile Barracuda ESG, inclusiv Saltwater, Submarine și Seaside.

CVE-2023-2868 s-a transformat într-o problemă semnificativă pentru Barracuda

Vulnerabilitatea care afectează ESG a evoluat într-un calvar îngrijorător pentru Barracuda, întâmpinând rapid o creștere a exploatărilor după descoperirea vulnerabilității zero-day în octombrie 2022. În luna mai a anului curent, compania a recunoscut oficial existența vulnerabilității și a lansat rapid patch-uri pentru a rezolva problema.

Cu toate acestea, câteva zile mai târziu, Barracuda a emis o declarație de avertizare clienților săi, sfătuindu-i să înlocuiască aparatele potențial vulnerabile, în special acele versiuni de operare 5.1.3.001 până la 9.2.0.006, chiar dacă patch-urile au fost aplicate. Chiar și luni mai târziu, dovezile de la CISA sugerează că exploatările în curs persistă, lăsând întrebări cu privire la strategia lui Barracuda de a rezolva problema în mod eficient.