image

Aanvallers verborgen backdoor in database besmette Barracuda-gateways

zondag 30 juli 2023, 09:51 door Redactie, 2 reacties

Bij de recent ontdekte zeroday-aanval op Email Security Gateways van fabrikant Barracuda hebben de aanvallers een onbekende backdoor in de SQL-database van besmette apparaten verborgen, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De backdoor wordt door de Amerikaanse overheidsinstantie "Submarine" genoemd.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens securitybedrijf Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien.

Het CISA is nu met meer informatie over de malware gekomen die bij de aanvallen is ingezet. Zo wordt via het zerodaylek een backdoor geïnstalleerd, die weer twee andere backdoors installeert genaamd SeaSpy en Submarine. SeaSpy wacht op commando's van de aanvallers waardoor die commando's op de gateway kunnen uitvoeren. Het CISA omschrijft Submarine als een "novel persistent backdoor" die zich in de SQL-database van besmette gateways bevindt en het mogelijk maakt voor aanvallers om code met rootrechten uit te voeren en de server voor command en control te gebruiken.

De backdoor vormt daarnaast een "groot gevaar" voor de mogelijkheid van aanvallers om zich lateraal door een netwerk te bewegen, aldus het CISA. Dat heeft meer technische details, alsmede ook YARA-rules, vrijgegeven om de backdoors te detecteren. Eerder adviseerde Barracuda om besmette Email Security Gateways direct te vervangen.

Reacties (2)
30-07-2023, 12:58 door Anoniem
Hoewel van een heel andere orde, kwam ik gisteren deze tekst tegen bij de modemfabrikant AVM:
Currently there are many reports about the botnet malware "Avrecon", which can infect Linux-based routers. Comprehensive investigations have not revealed any vulnerabilities in our products which could be used to infect them with the "Avrecon" botnet malware. No botnet malware is active on our products. Our own observations and customer reports indicate that no botnet malware is active on our products.

Link: https://en.avm.de/service/current-security-notifications/

Vraag is natuurlijk, welke modems dan wel gevoelig blijken te zijn.
Misschien dat de andere fabrikanten al dit op hun website hebben gezet?
30-07-2023, 22:23 door Anoniem
Spionage = cool job
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.