Škodlivý softvér Whirlpool

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť (CISA) identifikovala útoky APT (Advanced Persistent Threat) zamerané na doteraz nezverejnenú zero-day zraniteľnosť v zariadeniach Barracuda Email Security Gateway (ESG).

Uvedená zraniteľnosť, ako je načrtnutá vo varovaní CISA, bola zneužitá na zavedenie backdoor malvéru Seapsy a Whirlpool do napadnutých zariadení. CISA oznámila, že sa im podarilo získať štyri vzorky nasadených malvérových hrozieb, medzi ktoré patria zadné vrátka Seapsy a Whirlpool. Kompromis zariadenia sa prejavil prostredníctvom aktérov hrozieb, ktorí zarábali na bezpečnostnej medzere v Barracuda ESG. Táto chyba zabezpečenia, sledovaná ako CVE-2023-2868, umožňuje vykonávať vzdialené príkazy na zariadeniach ESG s operačnými verziami 5.1.3.001 až 9.2.0.006.

Malvér Whirlpool vytvára zadné dvierka pripojenie k narušeným systémom

Seapsy je známym a trvalým vinníkom v oblasti trestných činov Barracuda. Dokonale sa maskuje ako skutočná služba Barracuda pod názvom „BarracudaMailService“, ktorá umožňuje aktérom hrozby vykonávať ľubovoľné príkazy na zariadení ESG. Na rozdiel od toho Whirlpool predstavuje nové útočné zadné vrátka využívané útočníkmi na vytvorenie bezpečného spojenia vo forme reverzného shellu Transport Layer Security (TLS) späť k serveru Command-and-Control (C2).

Whirlpool bol identifikovaný ako 32-bitový spustiteľný a prepojiteľný formát (ELF). Funguje tak, že prijíma dva kritické argumenty – IP adresu C2 a číslo portu – od konkrétneho modulu. Tieto parametre sú nevyhnutné pri iniciovaní vytvorenia vyššie uvedeného reverzného shellu Transport Layer Security (TLS).

Aby sme sa ponorili ďalej, metóda reverzného shellu TLS slúži ako technika používaná pri kybernetických útokoch, ktorá funguje na vytvorenie bezpečného a šifrovaného komunikačného kanála medzi napadnutým systémom a serverom pod kontrolou útočníkov. Bohužiaľ, modul, ktorý poskytuje základné argumenty pre tento proces, nebol k dispozícii na analýzu CISA.

Okrem Seapsy a Whirlpool bolo objavených niekoľko ďalších kmeňov backdoor využívaných v zraniteľnostiach Barracuda ESG, vrátane Saltwater, Submarine a Seaside.

CVE-2023-2868 sa pre Barracudu zmenil na významný problém

Zraniteľnosť ovplyvňujúca ESG sa pre Barracudu zmenila na znepokojivé utrpenie, po objavení zraniteľnosti zero-day v októbri 2022 rýchlo narazila na prudký nárast. V máji tohto roku spoločnosť oficiálne potvrdila existenciu zraniteľnosti a okamžite vydali záplaty na vyriešenie problému.

O niekoľko dní neskôr však Barracuda vydala varovné vyhlásenie pre svojich zákazníkov, v ktorom im odporučila, aby vymenili potenciálne zraniteľné zariadenia, konkrétne tie operačné verzie 5.1.3.001 až 9.2.0.006, aj keď boli aplikované záplaty. Dokonca aj o mesiace neskôr dôkazy z CISA naznačujú, že pretrvávajúce zneužívanie pretrváva, čo zanecháva otázky týkajúce sa stratégie spoločnosti Barracuda na efektívne vyriešenie záležitosti.