Вхирлпоол Малваре

Агенција Сједињених Америчких Држава за сајбер безбедност и безбедност инфраструктуре (ЦИСА) идентификовала је нападе напредне трајне претње (АПТ) који циљају на претходно необјављену рањивост нултог дана у уређајима Баррацуда Емаил Сецурити Гатеваи (ЕСГ).

Предметна рањивост, као што је наведено у ЦИСА упозорењу, искоришћена је за увођење Сеапси и Вхирлпоол бацкдоор злонамерног софтвера на компромитоване уређаје. ЦИСА је известила да су успели да прибаве четири узорка примењених претњи малвера, који укључују Сеапси и Вхирлпоол бацкдоор. Компромис уређаја се десио кроз актере претњи који су искористили безбедносни јаз у Баррацуда ЕСГ. Ова рањивост, праћена као ЦВЕ-2023-2868, омогућава даљинско извршавање команди на ЕСГ уређајима који раде у верзијама од 5.1.3.001 до 9.2.0.006.

Злонамерни софтвер Вхирлпоол успоставља бацкдоор везу са оштећеним системима

Сеапси је добро познат и трајни кривац у домену прекршаја Баракуде. Она се вешто прикрива као прави Баррацуда сервис под именом „БаррацудаМаилСервице“, омогућавајући актерима претњи да извршавају произвољне команде на ЕСГ уређају. Насупрот томе, Вхирлпоол представља нови офанзивни бацкдоор који нападачи користе за успостављање безбедне везе у облику обрнуте љуске транспортног слоја (ТЛС) назад до сервера за команду и контролу (Ц2).

Посебно, Вхирлпоол је идентификован као 32-битни извршни формат који се може повезати (ЕЛФ). Функционише тако што прима два критична аргумента — Ц2 ИП адресу и број порта — од одређеног модула. Ови параметри су од суштинског значаја за иницирање успостављања горе поменуте обрнуте љуске за безбедност транспортног слоја (ТЛС).

Да продужимо даље, метода обрнуте љуске ТЛС-а служи као техника која се користи у сајбер нападима, која функционише за успостављање безбедног и шифрованог комуникационог канала између компромитованог система и сервера под контролом нападача. Нажалост, модул који даје основне аргументе за овај процес није био доступан за анализу од стране ЦИСА.

Поред Сеапси-а и Вхирлпоол-а, откривено је неколико других бацкдоор сојева који су искоришћени у рањивости Баррацуда ЕСГ, укључујући Салтватер, Субмарине и Сеасиде.

ЦВЕ-2023-2868 се претворио у значајан проблем за Баракуду

Рањивост која утиче на ЕСГ еволуирала је у забрињавајуће искушење за Баракуду, брзо наилазећи на пораст експлоатације након откривања рањивости нултог дана у октобру 2022. У мају текуће године, компанија је званично признала постојање рањивости и одмах објавили закрпе за решавање проблема.

Међутим, само неколико дана касније, Баррацуда је издала упозорење својим клијентима, саветујући их да замене потенцијално рањиве уређаје, посебно оне оперативне верзије 5.1.3.001 до 9.2.0.006, чак и ако су закрпе примењене. Чак и месецима касније, докази из ЦИСА-е сугеришу да се експлоатације настављају, остављајући питања у вези са Баракудином стратегијом за ефикасно решавање проблема.