వర్ల్పూల్ మాల్వేర్
యునైటెడ్ స్టేట్స్ సైబర్సెక్యూరిటీ అండ్ ఇన్ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) బార్రాకుడా ఇమెయిల్ సెక్యూరిటీ గేట్వే (ESG) ఉపకరణాలలో గతంలో వెల్లడించని జీరో-డే దుర్బలత్వాన్ని లక్ష్యంగా చేసుకుని అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) దాడులను గుర్తించింది.
CISA అలర్ట్లో వివరించిన విధంగా, సందేహాస్పద దుర్బలత్వం, రాజీపడిన పరికరాలలో సీప్సీ మరియు వర్ల్పూల్ బ్యాక్డోర్ మాల్వేర్ పేలోడ్లను పరిచయం చేయడానికి ఉపయోగించబడింది. సీప్సీ మరియు వర్ల్పూల్ బ్యాక్డోర్లను కలిగి ఉన్న మాల్వేర్ బెదిరింపుల యొక్క నాలుగు నమూనాలను వారు పొందగలిగారని CISA నివేదించింది. పరికరం యొక్క రాజీ బెదిరింపు నటుల ద్వారా బర్రాకుడా ESGలోని భద్రతా గ్యాప్ను ఉపయోగించుకుంది. ఈ దుర్బలత్వం, CVE-2023-2868గా ట్రాక్ చేయబడింది, ESG ఉపకరణాల ఆపరేటింగ్ వెర్షన్లు 5.1.3.001 నుండి 9.2.0.006 వరకు రిమోట్ కమాండ్ అమలును ప్రారంభిస్తుంది.
వర్ల్పూల్ మాల్వేర్ విచ్ఛిన్నమైన సిస్టమ్లకు బ్యాక్డోర్ కనెక్షన్ను ఏర్పాటు చేస్తుంది
సీప్సీ బర్రాకుడా నేరాల పరిధిలో బాగా తెలిసిన మరియు శాశ్వతమైన అపరాధి. ఇది 'BarracudaMailService' పేరుతో ఒక నిజమైన బార్రాకుడా సేవ వలె తెలివిగా మారువేషంలో ఉంది, ESG ఉపకరణంపై ఏకపక్ష ఆదేశాలను అమలు చేయడానికి ముప్పు నటులకు అవకాశం కల్పిస్తుంది. విరుద్ధమైన గమనికలో, కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్కు తిరిగి ట్రాన్స్పోర్ట్ లేయర్ సెక్యూరిటీ (TLS) రివర్స్ షెల్ రూపంలో సురక్షిత కనెక్షన్ని ఏర్పాటు చేయడానికి దాడి చేసేవారిచే ఉపయోగించబడిన కొత్త ప్రమాదకర బ్యాక్డోర్ను వర్ల్పూల్ సూచిస్తుంది.
ముఖ్యంగా, వర్ల్పూల్ 32-బిట్ ఎక్జిక్యూటబుల్ మరియు లింక్ చేయదగిన ఫార్మాట్ (ELF)గా గుర్తించబడింది. ఇది నిర్దిష్ట మాడ్యూల్ నుండి రెండు క్లిష్టమైన ఆర్గ్యుమెంట్లను స్వీకరించడం ద్వారా పనిచేస్తుంది-C2 IP చిరునామా మరియు పోర్ట్ నంబర్. పైన పేర్కొన్న ట్రాన్స్పోర్ట్ లేయర్ సెక్యూరిటీ (TLS) రివర్స్ షెల్ ఏర్పాటును ప్రారంభించడంలో ఈ పారామితులు అవసరం.
మరింత లోతుగా పరిశోధించడానికి, TLS రివర్స్ షెల్ పద్ధతి సైబర్టాక్లలో ఉపయోగించే ఒక టెక్నిక్గా పనిచేస్తుంది, ఇది రాజీపడిన సిస్టమ్ మరియు దాడి చేసేవారి నియంత్రణలో ఉన్న సర్వర్ మధ్య సురక్షితమైన మరియు ఎన్క్రిప్టెడ్ కమ్యూనికేషన్ కండ్యూట్ను ఏర్పాటు చేయడానికి పనిచేస్తుంది. దురదృష్టవశాత్తూ, ఈ ప్రక్రియ కోసం అవసరమైన వాదనలను అందించే మాడ్యూల్ CISA ద్వారా విశ్లేషణకు అందుబాటులో లేదు.
సీప్సీ మరియు వర్ల్పూల్తో పాటు, సాల్ట్వాటర్, సబ్మెరైన్ మరియు సముద్రతీరంతో సహా, బార్రాకుడా ESG దుర్బలత్వాలలో దోపిడీ చేయబడిన కొన్ని ఇతర బ్యాక్డోర్ జాతులు కనుగొనబడ్డాయి.
CVE-2023-2868 బర్రాకుడాకు ముఖ్యమైన సమస్యగా మారింది
అక్టోబరు 2022లో జీరో-డే దుర్బలత్వాన్ని కనుగొన్న తర్వాత ESGని ప్రభావితం చేసే దుర్బలత్వం బర్రాకుడాకు సంబంధించిన అగ్నిపరీక్షగా మారింది. ప్రస్తుత సంవత్సరం మేలో, కంపెనీ అధికారికంగా దుర్బలత్వం ఉనికిని గుర్తించింది మరియు సమస్యను పరిష్కరించడానికి వెంటనే ప్యాచ్లను విడుదల చేసింది.
అయితే, కొన్ని రోజుల తర్వాత, Barracuda దాని వినియోగదారులకు ఒక హెచ్చరిక ప్రకటనను జారీ చేసింది, పాచెస్ వర్తింపజేయబడినప్పటికీ, ముఖ్యంగా హాని కలిగించే ఉపకరణాలను, ప్రత్యేకంగా ఆ ఆపరేటింగ్ వెర్షన్ 5.1.3.001 నుండి 9.2.0.006 వరకు భర్తీ చేయమని వారికి సలహా ఇచ్చింది. నెలల తర్వాత కూడా, CISA నుండి సాక్ష్యాలు కొనసాగుతున్న దోపిడీలు కొనసాగుతున్నాయని సూచిస్తున్నాయి, సమస్యను సమర్థవంతంగా పరిష్కరించడానికి బర్రాకుడా యొక్క వ్యూహానికి సంబంధించిన ప్రశ్నలు ఉన్నాయి.