梭子魚零日漏洞被利用長達七個月

網絡和電子郵件安全公司梭子魚（Barracuda Networks）本周三透露，其10天前修補的零日漏洞已被利用至少七個月，攻擊者利用該漏洞在梭子魚的大型企業客戶的網絡中投放惡意軟件并竊取數據。

梭子魚于5月18日收到郵件安全網關（ESG）設備可疑流量的警報，一天后發現該零日漏洞并聘請網絡安全公司Mandiant協助調查。

該零日漏洞（CVE-2023-2868）是一個遠程命令注入漏洞，因用戶提供的.tar文件（用于打包或存檔多個文件）的輸入驗證不完整所致。當文件名以特定方式格式化時，攻擊者可以通過QX運算符執行系統命令，QX運算符是Perl編程語言中處理引號的函數。該零日漏洞存在于梭子魚郵件安全網關（ESG）5.1.3.001至9.2.0.006版本中。

梭子魚表示，正在進行的調查發現，該漏洞于2022年10月首次被利用，攻擊者訪問了“ESG設備的一個子集”，并部署了后門用于對受感染系統的持久訪問。

梭子魚還發現了攻擊者從其郵件安全網關設備竊取信息的證據。

梭子魚于5月20日向所有郵件安全網關設備推送安全補丁解決了該問題，并在一天后通過部署專用腳本阻止攻擊者訪問受感染的設備。

5月24日，梭子魚警告客戶其郵件安全網關設備可能已被攻擊者利用零日漏洞入侵，建議他們展開安全審查，確保攻擊者沒有橫向移動到網絡上的其他設備。

CISA上周五將梭子魚零日漏洞（CVE-2023-2868）添加到其已知被利用漏洞列表中，并向所有使用梭子魚郵件安全網關設備的聯邦機構發出警告，要求立即檢查網絡是否存在被入侵跡象。

三個定制惡意軟件

安全專家在調查過程中發現了三種以前未知的惡意軟件，專門為受感染的郵件安全網關產品定制開發。三個惡意軟件分別命名為Saltwater、Seaside和Seaspy。

其中Saltwater是一個木馬化的梭子魚SMTP守護程序（bsmtpd）模塊，為攻擊者提供對受感染設備的后門訪問。

Saltwater的“功能”包括在受感染的設備上執行命令、傳輸文件，以及提供代理和隧道功能幫助惡意流量逃避檢測。

另一種定制惡意軟件SeaSpy可提供持久性，可用“魔術數據包”激活，該數據包只有攻擊者知道。Barracuda聘請調查攻擊的安全公司Mandiant表示，SeaSpy幫助監控端口25（SMTP）流量，某些代碼與公開可用的cd00r被動后門重疊。

第三個惡意軟件模塊是SeaSide，通過惡意軟件的命令和控制（C2）服務器發送的SMTP HELO/EHLO命令建立反向外殼。

Seaside是ELF（可執行和可鏈接格式）的x64可執行文件，它將二進制文件、庫和核心轉儲存儲在Linux和Unix系統中的磁盤上。Seaside是一個持久性后門，會偽裝成合法的梭子魚網絡服務——PCAP過濾器，用于捕獲流經網絡的數據包并執行各種操作。Seaside還能監視端口25（該端口用SMTP電子郵件發件服務）。

緩解措施

梭子魚給客戶的緩解措施如下：

1.確保您的ESG設備正在接收并應用梭子魚的更新、定義和安全補丁。聯系梭子魚支持以驗證設備是否為最新版本。

2.停用受感染的ESG設備，并聯系梭子魚支持以獲取新的ESG虛擬或硬件設備。

3.輪換連接到ESG設備的任何適用憑據：

• 任何連接的LDAP/AD
• 梭子魚云控制
• FTP服務器
• SMB
• 任何私有TLS證書

根據梭子魚的公告，其產品被超過200萬家企業和機構使用，包括三星、達美航空、三菱和卡夫亨氏等知名公司。