Besmette Barracuda gateways opnieuw besmet na bekendmaking zeroday

[Captain Kirk]

De aanvallers die een wereldwijde zeroday-aanval tegen Barracuda Email Security Gateways (ESG) uitvoerden hielden er rekening mee dat de aanval zou worden ontdekt, en installeerden na de bekendmaking nieuwe malware op getroffen apparaten om zo ook nieuwe en opgeschoonde gateways te kunnen infecteren, zo stelt securitybedrijf Mandiant. Verder zochten de aanvallers vooral naar e-mailaccounts van medewerkers met een politieke of strategische interesse voor de Chinese overheid, aldus de onderzoekers van het bedrijf.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Barracuda liet eerder al weten dat vijf procent van alle gateways wereldwijd is gecompromitteerd. Vooral in de Verenigde Staten en Canada blijken deze apparaten zich te bevinden. Dat kan volgens Mandiant ook te maken hebben met het klantenbestand, dat zich vooral in deze landen bevindt.

Verder stelt het securitybedrijf in een vandaag verschenen analyse dat de aanvallers er rekening mee hielden dat de zeroday-aanval zou worden opgemerkt. Een week nadat Barracuda bekendmaakte dat er een zerodaylek in de gateway zat, rolden de aanvallers onder een select aantal slachtoffers aanvullende malware uit met de naam Submarine of Depthcharge. Het ging met name om overheidsinstanties en techbedrijven.

Via deze malware konden de aanvallers opgeschoonde of nieuwe gateways opnieuw infecteren als getroffen organisaties een back-upconfiguratie van een eerder besmette gateway terugplaatsten. Onlangs liet de FBI nog weten dat de updates die Barracuda uitbracht om het zerodaylek te verhelpen onvoldoende waren en adviseerde om de gateways meteen uit het netwerk te verwijderen.

 

bron: https://www.security.nl