Berichten zufolge haben Hacker über mehrere Monate hinweg eine Zero-Day-Schwachstelle in einem Produkt von Barracuda Networks ausgenutzt, um unzählige Organisationen mit zahlreichen Malware-Teilen anzugreifen.
Das Unternehmen gab an, eine kritische Schwachstelle mit der Bezeichnung CVE-2023-2868 gepatcht zu haben, die seit Oktober 2022 von Bedrohungsakteuren genutzt wurde. Die fragliche E-Mail-Software heißt Barracuda Email Security Gateway (ESG) und verfügt über Versionen zwischen 5.1.3.001 und 9.2.0.006 ist verwundbar.
„Benutzer, deren Geräte unserer Meinung nach betroffen waren, wurden über die ESG-Benutzeroberfläche über zu ergreifende Maßnahmen informiert“, sagte das Unternehmen in einem Sicherheitshinweis. „Barracuda hat sich auch an diese spezifischen Kunden gewandt. Im Zuge der Ermittlungen könnten weitere Kunden identifiziert werden.“
Drei Malware-Familien
Bisher hat Barracuda nach eigenen Angaben drei Malware-Familien entdeckt, die über den Zero-Day verbreitet werden: Saltwater, Seaside und Seaspy.
Ersteres ermöglicht es Bedrohungsakteuren unter anderem, Dateien herunterzuladen und hochzuladen sowie Befehle auszuführen. Seaside ist eine Persistenz-Hintertür, während letztere zum Empfangen einer C2-IP-Adresse und eines Ports zum Einrichten einer Reverse-Shell verwendet wird.
Um sicherzustellen, dass Ihre Organisation sicher ist, sollten Sie Folgendes tun:
- Aktualisieren Sie Ihre ESG-Appliance und stellen Sie sicher, dass sie regelmäßig gepatcht wird
- Hören Sie auf, die kompromittierte ESG-Appliance zu verwenden
- Rotieren Sie nach Möglichkeit die Anmeldeinformationen der ESG-Appliance, einschließlich aller verbundenen LDAP/AD-, Barracuda Cloud Control-, FTP-Server-, SMB- und aller privaten TLS-Zertifikate.
- Das Unternehmen lädt außerdem alle Kunden ein, die glauben, dass sie ins Visier genommen wurden, sich über [email protected] an den Support zu wenden.
Schließlich sollten Unternehmen ihre Netzwerkprotokolle überprüfen und nach möglichen Anzeichen einer Gefährdung oder unbekannten IP-Adressen suchen.
Laut der National Vulnerability Database handelt es sich bei dem Fehler um eine Schwachstelle durch Remote-Befehlsinjektion, die dadurch entsteht, dass die Appliance die Verarbeitung von .tar-Dateien (Bandarchiven) nicht umfassend bereinigt. Mit anderen Worten: Durch die Formatierung von Dateinamen auf eine bestimmte Weise können Angreifer Systembefehle ausführen.