Resim: Bing Image Creator
Ağ ve e-posta güvenlik firması Barracuda bugün, yakın zamanda yamalı bir sıfır günlük güvenlik açığının, özel kötü amaçlı yazılımlar ve çalma verileri ile en az yedi ay boyunca müşterilerin e-posta güvenlik ağ geçidi (ESG) cihazlarına kullanıldığını ortaya koydu.
Şirket, devam eden bir soruşturmanın, hatanın (CVE-2023-2868 olarak izlendiği) ilk olarak Ekim 2022'de "ESG aletlerinin bir alt kümesine" erişmek için kullanıldığını ve saldırganlara tehlikeye girenlere sürekli erişim sağlamak için tasarlanmış backdoors kullanıldığını buldu. Sistemler.
Barracuda ayrıca tehdit aktörlerinin geri alınan ESG cihazlarından bilgi çaldığına dair kanıtlar keşfetti.
Güvenlik kusuru, 19 Mayıs'ta, ESG cihazlarından şüpheli trafikten uyarıldıktan ve soruşturmaya yardımcı olmak için siber güvenlik firması Mantiant'ı işe alındıktan bir gün sonra tespit edildi.
Şirket, 20 Mayıs'ta tüm ESG cihazlarına bir güvenlik yaması uygulayarak sorunu ele aldı ve saldırganların bir gün sonra özel bir senaryo kullanarak tehlikeye atılan cihazlara erişimini engelledi.
24 Mayıs'ta, müşterilere ESG cihazlarının, şimdi paketlenmiş sıfır gün hatası kullanılarak ihlal edilmiş olabileceği konusunda uyardı ve muhtemelen saldırganların ağlarındaki diğer cihazlara yanal olarak hareket etmelerini sağlamak için ortamlarını araştırmalarını tavsiye etti.
Barracuda da bugün, "Konum stratejimizin ilerlemesinde tüm cihazlara bir dizi güvenlik yaması konuşlandırılıyor." Dedi.
Diyerek şöyle devam etti: "Etkilendiğine inandığımız cihazlar, ESG kullanıcı işlem arayüzü aracılığıyla bildirildi. Barracuda da bu belirli müşterilere ulaştı."
CISA, CVVE-2023-2868 Kusurunu Cuma günü bilinen sömürülen güvenlik açıkları listesine ekledi, muhtemelen ESG cihazlarını kullanan federal ajanslara, ağlarını uzlaşmalarından kaynaklanan müdahaleler için kontrol etmek için bir uyarı olarak ekledi.
Araştırma sırasında daha önce bilinmeyen birkaç kötü amaçlı yazılım suşu bulundu, özellikle de tehlikeye atılmış e -posta güvenlik ağ geçidi ürünlerinde kullanılmak üzere tasarlanmıştır.
İlk olarak adlandırılan tuzlu su, enfekte cihazlara saldırganlara arka kapıdan erişimi sağlayan truva atlı Barracuda SMTP Daemon (BSMTPD) modülüdür.
"Özellikleri", ödün verilen cihazlarda komutlar yürütme, dosyaları aktarma ve proxy/tünelden kaçınma tespitinden kaçmaya yardımcı olmak için kötü amaçlı trafiğini içerir.
Bu kampanya sırasında konuşlandırılan ve Seaspy olarak adlandırılan başka bir kötü amaçlı yazılım suşu kalıcılık sağlar ve "Magic Packs" kullanılarak etkinleştirilebilir. Seaspy, Port 25 (SMTP) trafiğini izlemeye yardımcı olur ve kodlarının bir kısmı halka açık CD00R pasif arka kapı ile çakışır.
Tehdit aktörleri ayrıca, kötü amaçlı yazılımların komut ve kontrol (C2) sunucusu aracılığıyla gönderilen SMTP HELO/EHLO komutları aracılığıyla ters kabuklar oluşturmak için sahil olarak adlandırılan bir BSMTPD kötü niyetli modül kullandı.
Müşterilere ESG cihazlarının güncel olup olmadığını kontrol etmeleri, ihlal edilen cihazları kullanmayı bırakmaları ve yeni bir sanal veya donanım cihazı istemeleri, hacklenen cihazlarla bağlantılı tüm kimlik bilgilerini döndürmeleri ve bugün paylaşılan IOC'ler için ağ günlüklerini kontrol etmeleri ve Bilinmeyen IP'ler.
Barracuda, ürünlerinin Samsung, Delta Airlines, Mitsubishi ve Kraft Heinz gibi yüksek profilli şirketler de dahil olmak üzere 200.000'den fazla organizasyon tarafından kullanıldığını söylüyor.
Barracuda, sıfır gün kusuruyla ihlal edilen e-posta ağ geçitleri uyarıyor
CISA, yakın zamanda yamalı Barracuda Zero-Day'in Govt ajanslarını uyarıyor
Bilgisayar korsanları, sıfır gün hatasını sömürerek Bitcoin ATM'lerinden kripto çalıyor
Cisco, sunucu yönetimi aracında XSS sıfır gün kusurunu açıklar
VMware, PWN2OWN'da kullanılan kritik sıfır gün istismar zincirini düzeltir
Kaynak: Bleeping Computer