image

Besmette Barracuda gateways opnieuw besmet na bekendmaking zeroday

dinsdag 29 augustus 2023, 15:45 door Redactie, 5 reacties

De aanvallers die een wereldwijde zeroday-aanval tegen Barracuda Email Security Gateways (ESG) uitvoerden hielden er rekening mee dat de aanval zou worden ontdekt, en installeerden na de bekendmaking nieuwe malware op getroffen apparaten om zo ook nieuwe en opgeschoonde gateways te kunnen infecteren, zo stelt securitybedrijf Mandiant. Verder zochten de aanvallers vooral naar e-mailaccounts van medewerkers met een politieke of strategische interesse voor de Chinese overheid, aldus de onderzoekers van het bedrijf.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Barracuda liet eerder al weten dat vijf procent van alle gateways wereldwijd is gecompromitteerd. Vooral in de Verenigde Staten en Canada blijken deze apparaten zich te bevinden. Dat kan volgens Mandiant ook te maken hebben met het klantenbestand, dat zich vooral in deze landen bevindt.

Verder stelt het securitybedrijf in een vandaag verschenen analyse dat de aanvallers er rekening mee hielden dat de zeroday-aanval zou worden opgemerkt. Een week nadat Barracuda bekendmaakte dat er een zerodaylek in de gateway zat, rolden de aanvallers onder een select aantal slachtoffers aanvullende malware uit met de naam Submarine of Depthcharge. Het ging met name om overheidsinstanties en techbedrijven.

Via deze malware konden de aanvallers opgeschoonde of nieuwe gateways opnieuw infecteren als getroffen organisaties een back-upconfiguratie van een eerder besmette gateway terugplaatsten. Onlangs liet de FBI nog weten dat de updates die Barracuda uitbracht om het zerodaylek te verhelpen onvoldoende waren en adviseerde om de gateways meteen uit het netwerk te verwijderen.

Reacties (5)
29-08-2023, 18:19 door Anoniem
Hoezo heeft de SUBMARINE backdoor admin en execute rechten? Wat is dit voor bedrijf joh, een mail applicatie met admin rechten laten draaien!
Nadeel van een closed source bedrijf; geen code review en te weinig kennis.
Barracuda is providing the replacement product to impacted customers at no cost.
Dat is dan weer netjes.
30-08-2023, 03:32 door Anoniem
Als je eenmaal ergens binnen bent is er bijna altijd wel een manier op je rechten te verhogen. Het probleem is dat men persistence wist te verkrijgen op de appliance welke een reboot en restore overleven. Dan heb je als leverancier geen keus om ze te vervangen als remote cleaning niet mogelijk is.
30-08-2023, 11:40 door Anoniem
Ik snap niet zo goed waarom het zo moeilijk is zo'n Barracuda te cleanen.
Het is gewoon een rackserver met Linux erop en wat applicaties. En er staat configuratie informatie op natuurlijk, zoals je domeinnaam/namen en je interne mailserver adres.
Hoe moeilijk kan het zijn dat ding gewoon opnieuw te IMAGEN (dus niet "proberen malware weg te halen" maar geheel standaard schoon image er over heen) en dan de configuratie weer te importeren of desnoods opnieuw in te typen als zelfs dat al een risico is?
30-08-2023, 12:09 door Anoniem
Door Anoniem: Als je eenmaal ergens binnen bent is er bijna altijd wel een manier op je rechten te verhogen. Het probleem is dat men persistence wist te verkrijgen op de appliance welke een reboot en restore overleven. Dan heb je als leverancier geen keus om ze te vervangen als remote cleaning niet mogelijk is.
Eigenlijk vind ik het wel lachen. Bedrijf waar ik gewerkt heb was ook overgestapt op appliances om niet afhankelijk te zijn van eigen systeembeheerders want dat kost te veel.
30-08-2023, 16:06 door Bitje-scheef
Volgens mij kan Barracuda nu wel inpakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.