0
0
Vulnerabilidade de injeção de comando remoto de dia zero em dispositivos de gateway de segurança de e-mail está sendo explorada pelas backdoors Seapsy e Whirlpool
Ataques de ameaças persistentes avançadas (APT) direcionados a uma antiga vulnerabilidade de injeção de comando remoto de dia zero em dispositivos de gateway de segurança de e-mail Barracuda ESG foram detectados pela Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA.
A vulnerabilidade, de acordo com um alerta da CISA, foi usada para implantar cargas de malware de backdoors Seapsy e Whirlpool nos dispositivos comprometidos. O Seapsy é um malware conhecido, persistente e passivo, disfarçado como um serviço legítimo da Barracuda, identificado como BarracudaMailService, que permite que os operadores de ameaças executem comandos arbitrários no dispositivo de segurança de e-mail. Já o backdooring Whirlpool é uma nova técnica usada por invasores que estabeleceram uma camada de segurança de transporte (TLS) shell reverso para o servidor de comando e controle (C&C).
“A CISA obteve quatro amostras de malware — incluindo das backdoors Seapsy e Whirlpool”, diz o alerta. “O dispositivo foi comprometido por operadores de ameaças que exploram a vulnerabilidade no Barracuda ESG.”
Rastreada como CVE-2023-2868, a vulnerabilidade permite a execução remota de comandos em dispositivos ESG executando as versões 5.1.3.001 a 9.2.0.006.
O Whirlpool foi identificado como um formato executável e vinculável (ELF) de 32 bits que usa dois argumentos (IP C2 e número da porta) de um módulo para estabelecer um shell reverso TLS (Transport Layer Security). Shell reverso TLC é um método usado em ataques cibernéticos para estabelecer um canal de comunicação seguro entre um sistema comprometido e um servidor controlado pelo invasor (C&C).
Além do Seapsy e do Whirlpool, algumas outras variedades de backdooring em exploits Barracuda ESG incluem o Saltwater, Submarine e Seaside.
A vulnerabilidade ESG tem sido um pesadelo para a Barracuda, pois ocorrem explorações a taxas exponenciais desde que a vulnerabilidade de dia zero foi identificada em outubro do ano passado. A empresa relatou formalmente a identificação da vulnerabilidade em maio deste ano e, posteriormente, abandonou os patches no mesmo mês.
Dias depois, no entanto, a empresa alertou seus clientes para substituir os aparelhos vulneráveis — versão 5.1.3.001 a 9.2.0.006 — mesmo que fossem corrigidos. Meses depois, a CISA ainda encontra evidências de exploits em andamento e resta saber o que Barracuda fará para acabar com esse problema.
FONTE: CISO ADVISOR