梭子鱼零日漏洞被利用长达七个月

GoUpSec发布于 2023-06-02

网络和电子邮件安全公司梭子鱼（Barracuda Networks）本周三透露，其 10 天前修补的零日漏洞已被利用至少七个月，攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。

梭子鱼于 5 月 18 日收到邮件安全网关（ESG）设备可疑流量的警报，一天后发现该零日漏洞并聘请网络安全公司 Mandiant 协助调查。

该零日漏洞（CVE-2023-2868）是一个远程命令注入漏洞，因用户提供的.tar 文件（用于打包或存档多个文件）的输入验证不完整所致。当文件名以特定方式格式化时，攻击者可以通过 QX 运算符执行系统命令，QX 运算符是 Perl 编程语言中处理引号的函数。该零日漏洞存在于梭子鱼邮件安全网关（ESG）5.1.3.001 至 9.2.0.006 版本中。

梭子鱼表示，正在进行的调查发现，该漏洞于 2022 年 10 月首次被利用，攻击者访问了 “ESG 设备的一个子集”，并部署了后门用于对受感染系统的持久访问。

梭子鱼还发现了攻击者从其邮件安全网关设备窃取信息的证据。

梭子鱼于 5 月 20 日向所有邮件安全网关设备推送安全补丁解决了该问题，并在一天后通过部署专用脚本阻止攻击者访问受感染的设备。

5 月 24 日，梭子鱼警告客户其邮件安全网关设备可能已被攻击者利用零日漏洞入侵，建议他们展开安全审查，确保攻击者没有横向移动到网络上的其他设备。

CISA 上周五将梭子鱼零日漏洞（CVE-2023-2868）添加到其已知被利用漏洞列表中，并向所有使用梭子鱼邮件安全网关设备的联邦机构发出警告，要求立即检查网络是否存在被入侵迹象。

三个定制恶意软件

安全专家在调查过程中发现了三种以前未知的恶意软件，专门为受感染的邮件安全网关产品定制开发。三个恶意软件分别命名为 Saltwater、Seaside 和 Seaspy。

其中 Saltwater 是一个木马化的梭子鱼 SMTP 守护程序（bsmtpd）模块，为攻击者提供对受感染设备的后门访问。

Saltwater 的 “功能” 包括在受感染的设备上执行命令、传输文件，以及提供代理和隧道功能帮助恶意流量逃避检测。

另一种定制恶意软件 SeaSpy 可提供持久性，可用 “魔术数据包” 激活，该数据包只有攻击者知道。Barracuda 聘请调查攻击的安全公司 Mandiant 表示，SeaSpy 帮助监控端口 25（SMTP）流量，某些代码与公开可用的 cd00r 被动后门重叠。

第三个恶意软件模块是 SeaSide，通过恶意软件的命令和控制（C2）服务器发送的 SMTP HELO/EHLO 命令建立反向外壳。

Seaside 是 ELF（可执行和可链接格式）的 x64 可执行文件，它将二进制文件、库和核心转储存储在 Linux 和 Unix 系统中的磁盘上。Seaside 是一个持久性后门，会伪装成合法的梭子鱼网络服务 ——PCAP 过滤器，用于捕获流经网络的数据包并执行各种操作。Seaside 还能监视端口 25（该端口用 SMTP 电子邮件发件服务）。

缓解措施

梭子鱼给客户的缓解措施如下：

1. 确保您的 ESG 设备正在接收并应用梭子鱼的更新、定义和安全补丁。联系梭子鱼支持（support@barracuda.com）以验证设备是否为最新版本。

2. 停用受感染的 ESG 设备，并联系梭子鱼支持（support@barracuda.com）以获取新的 ESG 虚拟或硬件设备。

3. 轮换连接到 ESG 设备的任何适用凭据：

• 任何连接的 LDAP/AD

• 梭子鱼云控制

• FTP 服务器

• SMB

• 任何私有 TLS 证书

4. 查看网络日志中是否有任何入侵指标和任何未知 IP。如有发现可联系 compliance@barracuda.com

根据梭子鱼的公告，其产品被超过 200 万家企业和机构使用，包括三星、达美航空、三菱和卡夫亨氏等知名公司。