வேர்ல்பூல் மால்வேர்

யுனைடெட் ஸ்டேட்ஸ் சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சி (சிஐஎஸ்ஏ) பார்ராகுடா மின்னஞ்சல் செக்யூரிட்டி கேட்வே (ஈஎஸ்ஜி) உபகரணங்களில் முன்னர் வெளிப்படுத்தப்படாத பூஜ்ஜிய நாள் பாதிப்பை இலக்காகக் கொண்டு மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) தாக்குதல்களை அடையாளம் கண்டுள்ளது.

CISA விழிப்பூட்டலில் விவரிக்கப்பட்டுள்ளபடி, கேள்விக்குரிய பாதிப்பு, சமரசம் செய்யப்பட்ட சாதனங்களில் சீப்ஸி மற்றும் வேர்ல்பூல் பின்கதவு மால்வேர் பேலோடுகளை அறிமுகப்படுத்த பயன்படுத்தப்பட்டது. பயன்படுத்தப்பட்ட தீம்பொருள் அச்சுறுத்தல்களின் நான்கு மாதிரிகளைப் பெற முடிந்ததாக CISA தெரிவித்துள்ளது, இதில் சீப்ஸி மற்றும் வேர்ல்பூல் பின்கதவுகளும் அடங்கும். பாரகுடா ESG இல் உள்ள பாதுகாப்பு இடைவெளியைப் பயன்படுத்தி அச்சுறுத்தல் நடிகர்கள் மூலம் சாதனத்தின் சமரசம் நடந்தது. இந்த பாதிப்பு, CVE-2023-2868 என கண்காணிக்கப்படுகிறது, ESG சாதனங்களின் இயக்க பதிப்புகள் 5.1.3.001 முதல் 9.2.0.006 வரை ரிமோட் கட்டளை செயல்படுத்தலை செயல்படுத்துகிறது.

வேர்ல்பூல் மால்வேர் மீறப்பட்ட அமைப்புகளுக்கு பின்கதவு இணைப்பை நிறுவுகிறது

பார்ராகுடா குற்றங்களின் எல்லைக்குள் சீப்ஸி நன்கு அறியப்பட்ட மற்றும் நீடித்த குற்றவாளி. இது 'BarracudaMailService' என்ற பெயரில் உண்மையான பாரகுடா சேவையாக மாறுவேடமிட்டு, ESG சாதனத்தில் தன்னிச்சையான கட்டளைகளை செயல்படுத்த அச்சுறுத்தும் நடிகர்களை வழங்குகிறது. ஒரு மாறுபட்ட குறிப்பில், Whirlpool ஒரு புதிய தாக்குதல் பின்கதவைப் பிரதிநிதித்துவப்படுத்துகிறது, இது ஒரு பாதுகாப்பான இணைப்பை ஏற்படுத்துவதற்கு தாக்குதல் நடத்துபவர்களால் பயன்படுத்தப்படுகிறது.

குறிப்பிடத்தக்க வகையில், வேர்ல்பூல் 32-பிட் இயங்கக்கூடிய மற்றும் இணைக்கக்கூடிய வடிவமாக (ELF) அடையாளம் காணப்பட்டது. ஒரு குறிப்பிட்ட தொகுதியிலிருந்து C2 ஐபி முகவரி மற்றும் போர்ட் எண் ஆகிய இரண்டு முக்கியமான வாதங்களைப் பெறுவதன் மூலம் இது செயல்படுகிறது. மேற்கூறிய டிரான்ஸ்போர்ட் லேயர் செக்யூரிட்டி (TLS) ரிவர்ஸ் ஷெல்லை நிறுவுவதற்கு இந்த அளவுருக்கள் அவசியம்.

மேலும் ஆராய்வதற்காக, TLS ரிவர்ஸ் ஷெல் முறையானது சைபர் தாக்குதல்களில் பயன்படுத்தப்படும் ஒரு நுட்பமாக செயல்படுகிறது, இது ஒரு சமரசம் செய்யப்பட்ட அமைப்பு மற்றும் தாக்குபவர்களின் கட்டுப்பாட்டின் கீழ் உள்ள சேவையகத்திற்கு இடையே பாதுகாப்பான மற்றும் மறைகுறியாக்கப்பட்ட தகவல் தொடர்பு வழியை நிறுவுவதற்கு செயல்படுகிறது. துரதிர்ஷ்டவசமாக, இந்த செயல்முறைக்கான அத்தியாவசிய வாதங்களை வழங்கும் தொகுதி CISA ஆல் பகுப்பாய்வு செய்ய கிடைக்கவில்லை.

சீப்சி மற்றும் வேர்ல்பூல் தவிர, பாராகுடா ESG பாதிப்புகளில் பயன்படுத்தப்பட்ட சில பிற பின்கதவு விகாரங்கள் உப்பு நீர், நீர்மூழ்கிக் கப்பல் மற்றும் கடலோரம் உள்ளிட்டவை கண்டுபிடிக்கப்பட்டன.

CVE-2023-2868 பாராகுடாவிற்கு ஒரு குறிப்பிடத்தக்க பிரச்சினையாக மாறியுள்ளது

அக்டோபர் 2022 இல் பூஜ்ஜிய-நாள் பாதிப்பு கண்டறியப்பட்டதைத் தொடர்ந்து, ESG-ஐப் பாதிக்கும் பாதிப்பு, பாரகுடாவுக்கு ஒரு சோதனையான சோதனையாக உருவெடுத்துள்ளது. நடப்பு ஆண்டின் மே மாதத்தில், பாதிப்பு இருப்பதை நிறுவனம் அதிகாரப்பூர்வமாக ஒப்புக்கொண்டது மற்றும் சிக்கலைத் தீர்க்க உடனடியாக இணைப்புகளை வெளியிட்டது.

இருப்பினும், சில நாட்களுக்குப் பிறகு, பாராகுடா தனது வாடிக்கையாளர்களுக்கு ஒரு எச்சரிக்கை அறிக்கையை வெளியிட்டது, பாதிக்கப்படக்கூடிய சாதனங்களை, குறிப்பாக 5.1.3.001 முதல் 9.2.0.006 வரை இயங்கும் பதிப்புகள், இணைப்புகள் பயன்படுத்தப்பட்டிருந்தாலும் அவற்றை மாற்றுமாறு அறிவுறுத்தியது. சில மாதங்களுக்குப் பிறகும், CISA இன் சான்றுகள், தற்போதைய சுரண்டல்கள் தொடர்வதாகக் கூறுகின்றன, இந்த விஷயத்தை திறம்படத் தீர்ப்பதற்கான பாரகுடாவின் உத்தியைப் பற்றிய கேள்விகளை விட்டுவிடுகின்றன.