Een zero-day in e-mail-software van Barracuda Networks is maandenlang door hackers gebruikt om data te stelen.
Securitybedrijf Barracuda Networks patchte vorige week een kwetsbaarheid die maandenlang onder de radar is kunnen blijven. De zero-day bevond zich in Barracuda Email Security Gateway (ESG) en werd sinds oktober vorig jaar door hackers uitgebuit om gevoelige data te stelen van geïnfecteerde systemen.
Het probleem
De bug, met code CVE-2023-2868, werd gebruikt om verschillende vormen van malware te installeren. Oorzaak van de kwetsbaarheid was onvolledige inputvalidatie bij .tar-bestanden van gebruikers.
Ze kwam voor in de Barracuda Email Security Gateway, versies 5.1.3.001 tot 9.2.0.006; tot Barracuda tien dagen geleden een patch lanceerde. Vorige week waarschuwde het bedrijf zijn gebruikers dat CVE-2023-2868 al even het onderwerp was van een onderzoek, sinds de aanvallen in oktober.
Boosdoeners
Malware die intussen werd geïdentificeerd zijn onder andere de pakketten Saltwater, Seaside en Seaspy.
Saltwater is een kwaadaardige module voor het SMTP (‘Simple Mail Transfer Protocol’) van Barracuda’s applicatie E-mail Security Gateway. Die module creëert een digitale backdoor waarlangs bestanden kunnen worden gedownload en opgeladen, commando’s gegeven of hacking-tools worden voorzien.
Via Seaspy kunnen verscheidene bestandsformaten worden bewaard op schijven in Linux- of Unix-systemen. Deze malware creëert eveneens een backdoor; eentje die er effectief uitziet als een service van Barracuda Networks. Seaspy onderschept datapakketjes en kan ook ingezet worden voor verschillende handelingen. Het wordt geactiveerd door een “magic packet” dat alleen de aanvaller kent. Onderzoek toonde aan dat er overlapping is in de code van de malware en die van cd00r, een publiek beschikbare backdoor.
Seaside is ook een module voor het SMTP van Barracuda ESG, maar monitort commando’s, om zo een command-and-control IP-adres en een portaal te verkrijgen, met als doel een reverse-shell te initiëren.
lees ook
Poll: Welke antivirus beschermt jouw Windows-laptop?
Afhandeling
Barracuda benadrukte om zijn support te contacteren om te checken of een ESG up-to-date is of voor een nieuw systeem indien nodig. Het bedrijf raadt bovendien aan er voor te zorgen dat ESG’s de nodige updates, patches en definities ontvangen en uitvoeren, om te checken voor log-ins van onbekende IP’s of IP’s die het onderzoek aangaf als gecompromitteerd en om alle credentials te roteren die aan een ESG zijn gelinkt.
Eind vorig jaar integreerde Barracuda nog Amazon Security Lake in beveiliging voor e-mail, enkele maanden nadat het was aangekocht door investeringsmaatschappij KKR.