31.05.2023 14:45

Barracuda Email Security Gateway: qx(echo "pwned")

Vor rund zwei Wochen wurde Barracuda Networks auf eine Schwachstelle (CVE-2023-2868) in ihrem Produkt Email Security Gateway (ehemals: Spam Firewall) aufmerksam.

Auf der Status-Seite des Herstellers, beziehungsweise einem eigens dafür angelegetem Blogbeitrag geht Barracuda auf die interne Vorgehensweise der Vorfallsbekämpfung ein. Nach Bekanntwerden der Schwachstelle am 19. Mai, wurden am 20. & 21. Mai ESG-Instanzen weltweit mit Security-Patches versorgt. 

Neben der initialen Wundversorgung hat Barracuda proaktiv Kontakt mit potenziell betroffenenen Kunden aufgenommen, und gibt Handlungsempfehlungen.

Rund eine Woche nach den ersten Veröffentlichungen zu CVE-2023-2868 ergänzt Barracuda die wichtigsten Erkenntnisse der noch laufenden Untersuchung: Die angreifbare Komponente war ein Attachment-Scanner, der laut Eigenaussage lediglich in Barracudas ESG zum Einsatz kommt. Um die Lücke auszunutzen wird ein manipuliertes .tar-Archiv genutzt, welches speziell präparierte Dateinamen enthält die in weiterer Folge an an Perls qx-Operator übergeben wurden.

Forensische Analysen deuten auf eine laufende Ausnutzung dieser Lücke seit Oktober 2022 hin, wobei in einigen konkreten Fällen ("a subset of ESG appliances") das Abfließen von Daten, beziehungsweise die Installation diverser Persistenzen beobachtet wurde. Durch die Zusammenarbeit mit Mandiant wurden im Zuge der Analyse drei bis dato unbekannte Malware-Samples (SALTWATER, SEASPY und SEASIDE) identifziert

Barracuda gibt an betroffene Kunden bereits informiert zu haben, und weißt darauf hin dass durch die laufende forensische Analyse noch weitere betroffene Kunden identifiziert und kontaktiert werden könnten. 

Neben den veröffentlichten Security-Patches, stellt Barracuda eine Liste an technischen Indikatoren zur Verfügung  (Endpoint-IOCs & Network-IOCs) welche genutzt werden können um eine potenzielle Kompromittierung festzustellen. Mithilfe der zusätzlich veröffentlichten YARA-Regeln kann nach maliziösen .tar-Archiven und der identifizierten SALTWATER-Malware gesucht werden.

Weiterhin Gilt:

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte streng limitiert sein.

Quellen