Aanvallers verborgen backdoor in database besmette Barracuda-gateways
Bij de recent ontdekte zeroday-aanval op Email Security Gateways van fabrikant Barracuda hebben de aanvallers een onbekende backdoor in de SQL-database van besmette apparaten verborgen, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De backdoor wordt door de Amerikaanse overheidsinstantie "Submarine" genoemd.
De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.
Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens securitybedrijf Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien.
Het CISA is nu met meer informatie over de malware gekomen die bij de aanvallen is ingezet. Zo wordt via het zerodaylek een backdoor geïnstalleerd, die weer twee andere backdoors installeert genaamd SeaSpy en Submarine. SeaSpy wacht op commando's van de aanvallers waardoor die commando's op de gateway kunnen uitvoeren. Het CISA omschrijft Submarine als een "novel persistent backdoor" die zich in de SQL-database van besmette gateways bevindt en het mogelijk maakt voor aanvallers om code met rootrechten uit te voeren en de server voor command en control te gebruiken.
De backdoor vormt daarnaast een "groot gevaar" voor de mogelijkheid van aanvallers om zich lateraal door een netwerk te bewegen, aldus het CISA. Dat heeft meer technische details, alsmede ook YARA-rules, vrijgegeven om de backdoors te detecteren. Eerder adviseerde Barracuda om besmette Email Security Gateways direct te vervangen.
Link: https://en.avm.de/service/current-security-notifications/
Vraag is natuurlijk, welke modems dan wel gevoelig blijken te zijn.
Misschien dat de andere fabrikanten al dit op hun website hebben gezet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
