Zlonamerna programska oprema Whirlpool

Agencija Združenih držav za kibernetsko varnost in varnost infrastrukture (CISA) je identificirala napade napredne trajne grožnje (APT), ki ciljajo na prej nerazkrito ranljivost ničelnega dne v napravah Barracuda Email Security Gateway (ESG).

Zadevna ranljivost, kot je opisana v opozorilu CISA, je bila izkoriščena za uvedbo zlonamerne programske opreme za zakulisna vrata Seapsy in Whirlpool v ogrožene naprave. CISA je poročala, da jim je uspelo pridobiti štiri vzorce nameščenih groženj zlonamerne programske opreme, ki vključujejo zadnja vrata Seapsy in Whirlpool. Do ogrožanja naprave je prišlo prek akterjev groženj, ki so izkoristili varnostno vrzel v Barracuda ESG. Ta ranljivost, označena kot CVE-2023-2868, omogoča oddaljeno izvajanje ukazov na napravah ESG z različicami od 5.1.3.001 do 9.2.0.006.

Zlonamerna programska oprema Whirlpool vzpostavi zakulisno povezavo z vdretimi sistemi

Seapsy je dobro znan in trajen krivec na področju prekrškov Barracuda. Spretno se prikrije kot pristna storitev Barracuda pod imenom 'BarracudaMailService', ki akterjem groženj omogoča izvajanje poljubnih ukazov v napravi ESG. Nasprotno, Whirlpool predstavlja nova ofenzivna stranska vrata, ki jih napadalci izkoristijo za vzpostavitev varne povezave v obliki povratne lupine Transport Layer Security (TLS) nazaj do strežnika Command-and-Control (C2).

Predvsem je bil Whirlpool identificiran kot 32-bitni izvedljivi in povezljivi format (ELF). Deluje tako, da od določenega modula prejme dva kritična argumenta – naslov IP C2 in številko vrat. Ti parametri so bistveni pri začetku vzpostavitve zgoraj omenjene povratne lupine varnosti transportne plasti (TLS).

Če se poglobimo še dlje, metoda obratne lupine TLS služi kot tehnika, uporabljena pri kibernetskih napadih, ki deluje za vzpostavitev varnega in šifriranega komunikacijskega kanala med ogroženim sistemom in strežnikom pod nadzorom napadalcev. Na žalost modul, ki ponuja bistvene argumente za ta proces, ni bil na voljo za analizo CISA.

Poleg ranljivosti Seapsy in Whirlpool je bila odkrita še peščica drugih zakulisnih sevov, izkoriščanih v ranljivostih Barracuda ESG, vključno s Saltwater, Submarine in Seaside.

CVE-2023-2868 se je spremenil v pomembno težavo za Barracuda

Ranljivost, ki vpliva na ESG, se je razvila v zaskrbljujočo preizkušnjo za Barracudo, ki je hitro naletela na porast izkoriščanj po odkritju ranljivosti ničelnega dne oktobra 2022. Maja tekočega leta je podjetje uradno priznalo obstoj ranljivosti in nemudoma izdane popravke za odpravo težave.

Toda le nekaj dni kasneje je Barracuda svojim strankam izdala opozorilno izjavo, v kateri jim je svetovala, naj zamenjajo potencialno ranljive naprave, zlasti tiste operacijske različice od 5.1.3.001 do 9.2.0.006, tudi če so bili nameščeni popravki. Celo mesece kasneje dokazi iz CISA kažejo, da stalna izkoriščanja še vedno obstajajo, kar pušča vprašanja v zvezi s strategijo Barracude za učinkovito rešitev zadeve.