Zero-Day-Lücke: Leck in Barracudas ESG bereits seit 7 Monaten missbraucht
Barracuda hat vergangene Woche eine Zero-Day-Lücke in den ESG-Appliances abgedichtet. Untersuchungen ergeben, dass sie bereits seit Oktober missbraucht wurden.
(Bild: asharkyu/Shutterstock.com)
In der vergangenen Woche hat Barracuda eine kritische Sicherheitslücke in den Email Security Appliances (ESG) geschlossen, die bereits von Cyberkriminellen angegriffen wurde. Bei der weiteren Untersuchung hat sich jetzt herausgestellt, dass erste Angriffe auf die Sicherheitslücke bereits vor sieben Monaten, im Oktober vergangenen Jahres, stattfanden.
Das Unternehmen hat die Analyseergebnisse zur ESG-Zero-Day-Lücke aktualisiert. Der Hersteller schreibt, dass Angreifer die Schwachstelle CVE-2023-2868 missbraucht haben, um damit unbefugt auf ESG-Appliances zuzugreifen. Auf den erfolgreich angegriffenen ESG-Appliances hätten die Forensiker Malware gefunden, die als persistente Hintertür fungierte.
Barracuda ESG: Mehrere Hintertüren installiert
Die IT-Analytiker haben mehrere Malware-Dateien gefunden, "Saltwater" nennen sie ein trojanisiertes Modul für den Barracuda SMTP-Daemon (bsmtpd). Es kann beliebige Dateien hoch- oder herunterladen, Befehle ausführen sowie Proxy- und Tunnel-Funktionen bereitstellen. Die Hintertür ist mit Hooks in die Systemaufrufe send, recv und close verankert.
Bei der "Seaspy" genannten Hintertür handelt es sich um eine x64-ELF-Binärdatei, die sich als legitimer Barracuda Networks-Dienst ausgibt und sich als PCAP-Filter einschleust. Dabei überwacht er insbesondere Netzwerkverkehr auf SMTP-Port 25. Die Hintertür wird bei Vorfinden eines "Magic Packet" aktiv. Mandiant hat bei der Analyse der Malware Überschneidungen mit dem Code der öffentlich verfügbaren cd00r-Hintertür entdeckt.
Schließlich fand sich auf einigen infizierten Appliances "Seaside", ein Lua-basiertes Modul für den Barracuda SMTP-Daemon. Es überwacht die SMTP HELP/EHLO-Befehle, um darüber IP-Adresse und Port des Command-and-COntrol-Servers (C&C, C2) zu erhalten. Diese reicht es an eine externe Binärdatei durch, die eine Reverse Shell einrichtet.
Zero-Day-Lücke: Datenabfluss
Außerdem konnten die IT-Sicherheitsforscher Beweise dafür finden, dass Daten von einigen infiltrierten ESG-Appliances abgeflossen sind. Weitere Details erwähnt Barracuda dazu jedoch nicht.
Die Analyse enthält auch Indizien für einen Befall (Indicators of Compromise, IoCs) zu den unterschiedlichen Malware-Dateien sowie bisher gefundene Netzwerkadressen. Außerdem haben die IT-Forscher YARA-Regeln ergänzt, die bei der Untersuchung der Kundennetzwerke helfen sollen.
(dmk)
