Bij de recent ontdekte zeroday-aanval op Email Security Gateways van fabrikant Barracuda hebben de aanvallers een onbekende backdoor in de SQL-database van besmette apparaten verborgen, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De backdoor wordt door de Amerikaanse overheidsinstantie "Submarine" genoemd.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens securitybedrijf Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien.

Het CISA is nu met meer informatie over de malware gekomen die bij de aanvallen is ingezet. Zo wordt via het zerodaylek een backdoor geïnstalleerd, die weer twee andere backdoors installeert genaamd SeaSpy en Submarine. SeaSpy wacht op commando's van de aanvallers waardoor die commando's op de gateway kunnen uitvoeren. Het CISA omschrijft Submarine als een "novel persistent backdoor" die zich in de SQL-database van besmette gateways bevindt en het mogelijk maakt voor aanvallers om code met rootrechten uit te voeren en de server voor command en control te gebruiken.

De backdoor vormt daarnaast een "groot gevaar" voor de mogelijkheid van aanvallers om zich lateraal door een netwerk te bewegen, aldus het CISA. Dat heeft meer technische details, alsmede ook YARA-rules, vrijgegeven om de backdoors te detecteren. Eerder adviseerde Barracuda om besmette Email Security Gateways direct te vervangen.