Whirlpool Kötü Amaçlı Yazılımı

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Barracuda Email Security Gateway (ESG) cihazlarında önceden açıklanmayan bir sıfır gün güvenlik açığını hedefleyen Gelişmiş Kalıcı Tehdit (APT) saldırıları tespit etti.

Bir CISA uyarısında belirtildiği gibi söz konusu güvenlik açığı, güvenliği ihlal edilmiş cihazlara Seapsy ve Whirlpool arka kapı kötü amaçlı yazılım yüklerini tanıtmak için kullanıldı. CISA, konuşlandırılmış kötü amaçlı yazılım tehditlerinden Seapsy ve Whirlpool arka kapılarını içeren dört örnek almayı başardıklarını bildirdi. Cihazın ele geçirilmesi, Barracuda ESG'deki güvenlik açığından yararlanan tehdit aktörleri aracılığıyla gerçekleşti. CVE-2023-2868 olarak izlenen bu güvenlik açığı, 5.1.3.001 ila 9.2.0.006 sürümlerini çalıştıran ESG cihazlarında uzaktan komut yürütülmesine olanak tanır.

Whirlpool Kötü Amaçlı Yazılımı, İhlal Edilen Sistemlerle Arka Kapı Bağlantısı Kuruyor

Seapsy, Barracuda suçları alanında tanınmış ve kalıcı bir suçludur. Kendisini 'BarracudaMailService' adı altında ustaca gerçek bir Barracuda hizmeti olarak gizler ve tehdit aktörlerinin ESG aygıtı üzerinde keyfi komutlar yürütmesini sağlar. Zıt bir not olarak, Whirlpool, Komuta ve Kontrol (C2) sunucusuna bir Aktarım Katmanı Güvenliği (TLS) ters kabuğu şeklinde güvenli bir bağlantı kurmak için saldırganlar tarafından kullanılan yeni bir saldırgan arka kapıyı temsil ediyor.

Özellikle Whirlpool, 32 bit Yürütülebilir ve Bağlanabilir Format (ELF) olarak tanımlandı. Belirli bir modülden iki kritik argüman (C2 IP adresi ve port numarası) alarak çalışır. Bu parametreler, yukarıda bahsedilen Aktarım Katmanı Güvenliği (TLS) ters kabuğunun kurulmasını başlatmada esastır.

Daha derine inmek gerekirse, TLS ters kabuk yöntemi, siber saldırılarda kullanılan bir teknik olarak hizmet eder ve güvenliği ihlal edilmiş bir sistem ile saldırganların kontrolü altındaki bir sunucu arasında güvenli ve şifreli bir iletişim kanalı kurmaya çalışır. Ne yazık ki, bu süreç için temel argümanları sağlayan modül, CISA tarafından analiz edilmek üzere mevcut değildi.

Seapsy ve Whirlpool'a ek olarak, Saltwater, Submarine ve Seaside dahil olmak üzere Barracuda ESG güvenlik açıklarında istismar edilen bir avuç başka arka kapı türü keşfedildi.

CVE-2023-2868, Barracuda İçin Önemli Bir Soruna Dönüştü

ESG'yi etkileyen güvenlik açığı, Ekim 2022'de sıfır gün güvenlik açığının keşfedilmesinin ardından açıklardan yararlanma sayısında hızla bir artışla karşılaşan Barracuda için endişe verici bir sınava dönüştü. Bu yılın Mayıs ayında şirket, güvenlik açığının varlığını resmen kabul etti ve sorunu çözmek için derhal yamalar yayınladı.

Ancak, sadece birkaç gün sonra Barracuda, müşterilerine, yamalar uygulanmış olsa bile, özellikle 5.1.3.001 ile 9.2.0.006 arasındaki sürümleri çalıştıran potansiyel olarak savunmasız cihazları değiştirmelerini tavsiye eden bir uyarı bildirisi yayınladı. Aylar sonra bile, CISA'dan elde edilen kanıtlar, devam eden istismarların devam ettiğini ve Barracuda'nın sorunu etkili bir şekilde çözme stratejisiyle ilgili soru işaretleri bıraktığını gösteriyor.