CVE-2023-2868:物理梭鱼ESG设备的全面妥协

最后更新于2023年8月10日星期四21:41:04 GMT

Rapid7事件响应小组正在调查至少可追溯到2022年11月的物理Barracuda Networks电子邮件安全网关(ESG)设备的利用. 截至2023年6月6日，作为正在进行的 产品事件响应Barracuda正在敦促ESG客户这样做 立即退役并更换所有受影响的ESG物理设备，无论补丁级别如何. Barracuda表示，受影响的ESG客户将在其用户界面(UI)中看到通知。. 收到此UI通知后仍未更换设备的客户应联系梭鱼支持: support@barracuda.com.

Background

5月18日和19日, 2023, Barracuda发现来自其电子邮件安全网关(ESG)设备的异常流量. Barracuda ESG是一个过滤入站和出站电子邮件和保护客户数据的解决方案. ESG可以部署为物理设备或虚拟设备, 或者在AWS或微软Azure上的公共云环境中.

5月30日，Barracuda 披露cve - 2023 - 2868, 该公司表示，至少从2022年10月开始，威胁行为者就在运行版本5的部分设备上利用了远程命令注入漏洞.1.3.001-9.2.0.006. 根据安全公告, 该漏洞存在于一个模块中，该模块对传入电子邮件的附件执行初始屏幕. Barracuda已经表明了这一点, 截至6月6日, 无其他产品, 包括SaaS电子邮件安全服务, 是否已知受到影响.

该公司表示，他们已于2023年5月20日向其全球ESG客户群推送了补丁. On May 21, Barracuda部署了一个额外的脚本来“控制事件并对抗未经授权的访问方法”.” However, on June 6, 该公司更新了他们的咨询，警告客户受影响的设备应该完全更换, 无论固件版本或补丁级别如何.

从打补丁到完全更换受影响设备的转变相当惊人，这意味着威胁行为者部署的恶意软件以某种方式在足够低的水平上实现了持久性，即使清除设备也无法根除攻击者的访问. Barracuda已经在他们的网站上详细描述了这起事件 advisory，包括广泛的 妥协指标, 其他漏洞详细信息, 以及关于梭子鱼SMTP守护进程的后门模块的信息.

2023年6月15日，Mandiant 发表深度分析 事件的经过, 他们认为这是一名疑似与中国有联系的“激进而熟练的演员”所为, 编号un4841. 根据分析, 至少可以追溯到10月10日的一次大规模威胁活动中，梭鱼ESG设备被用作“间谍活动的载体”, 2022. 在最初的妥协之后, “Mandiant和Barracuda观察到UNC4841积极地针对特定数据进行窃取, 在某些情况下, 利用对ESG设备的访问对受害网络进行横向移动, 或者向其他受害设备发送邮件. Mandiant还观察到UNC4841部署了额外的工具来维持ESG设备的存在.“我们鼓励安全团队这样做 阅读完整的分析.

在已知ESG设备上建立基线, 运行“Barracuda网络垃圾邮件防火墙”SMTP守护进程, 大概有11个,在互联网上出售的000个电器(Barracuda Networks垃圾邮件防火墙smtpd)，截至6月8日. 值得注意的是，如果其他梭子鱼设备也运行这项服务，这个数字可能会被夸大.

观察到的攻击者行为

到目前为止，Rapid7服务团队已经发现了早在2022年11月发生的恶意活动, 最近一次与威胁行为者基础设施的通信是在2023年5月. 在至少一种情况下，出站网络流量表明潜在的数据泄露. 我们还没有观察到受损器械有任何横向移动.

Note: 尽管共享恶意软件指标，如散列和YARA搜索规则可能非常有用, 在这种情况下，除非团队可以直接访问设备的操作系统或VMDK映像，否则它们可能不那么相关. 像Barracuda共享的IP地址这样的网络指标也是快速服务团队观察到的，这是审查网络日志的一个良好开端.g.(防火墙或IPS日志).

缓解指导

使用受影响的Barracuda ESG设备的客户应 立即将设备脱机 然后替换它. 对于物理设备用户来说，这意味着完全更换硬件. Barracuda的咨询中有联系技术支持的说明(support@barracuda.com). 还建议用户轮换连接到ESG设备的任何凭据，包括:

• 任何连接的LDAP/AD
• 梭鱼云控制
• FTP Server
• SMB
• 任何私有TLS证书

ESG设备用户应该使用Barracuda公开发布的网络和端点指标(如果可能的话)来检查至少追溯到2022年10月的入侵迹象: http://www.barracuda.com/company/legal/esg-vulnerability

如果您对接下来的步骤或对您的组织的影响有疑问, 请联系梭鱼支持.

Updates

2023年6月15日: 更新了Mandiant的 深入分析 CVE-2023-2868和UNC4841.