PSA: O Email Security Gateway da Barracuda é um cliente de e-mail corporativo popular. Infelizmente, não cumpriu o aspecto de segurança de seu nome nos últimos oito meses. Os hackers têm usado uma falha no software para infectar sistemas com pelo menos três tipos de malware que incluem C2, injeção de comando, monitoramento de porta e recursos persistentes de backdoor.
A empresa de segurança Barracuda Networks divulgou uma vulnerabilidade de dia zero em seu popular cliente de e-mail que os hackers exploraram por oito meses antes de ser descoberta e corrigida. O patch foi lançado há 11 dias e o Barracuda notificou os clientes sobre a falha por meio de seu Email Security Gateway (ESG), fornecendo medidas de mitigação.
A falha de segurança (CVE-2023-2868) permitiu a injeção de comando remoto através do ESG devido à “validação de entrada incompleta” de arquivos .tar fornecidos pelo usuário, às vezes chamados de tarballs. Os tarballs são semelhantes aos arquivos zip, pois carregam uma coleção de arquivos compactados em um único contêiner.
O problema era que nas versões 5.1.3.001 a 9.2.0.006 do cliente ESG do Barracuda, os malfeitores podiam executar comandos do sistema por meio do operador QX se o tarball fosse nomeado de uma maneira específica e não especificada. A falha envolvia como a linguagem de programação Perl lida com as aspas, mas isso é o mais específico que o Barracuda conseguiria.
A empresa diz que sua investigação determinou que agentes mal-intencionados exploraram a vulnerabilidade entre outubro de 2022 e 20 de maio de 2023. Os hackers a usaram para entregar cargas de malware a sistemas vulneráveis, principalmente pacotes identificados como Saltwater, Seaside e Seaspy.
Saltwater é um trojan que imita o daemon SMTP do Barracuda (bsmtpd). O malware tem funcionalidade de backdoor para que os invasores possam fazer upload ou download de arquivos, executar comandos e usar recursos de proxy e tunelamento.
Seaside é um módulo baseado em Lua também direcionado ao daemon SMTP. Ele monitora os comandos HELO/EHLO procurando endereços IP e portas de comando e controle (C2). Quando recebido, ele envia os dados C2 como argumentos para um binário externo para criar um “shell de conexão”.
Seaspy é um arquivo x64 ELF (formato executável e vinculável) que finge ser um serviço legítimo da Barracuda Networks. Depois de se estabelecer como um filtro PCAP, ele monitora o tráfego da porta 25 (SMTP). Seaspy pode atuar como um backdoor persistente, e Barracuda diz que os operadores podem ativá-lo secretamente por meio de um “pacote mágico”.
A Barracuda não divulgou quantos clientes foram explorados durante os oito meses em que o buraco permaneceu sem ser descoberto, mas corrigiu o bug imediatamente antes de notificar seus clientes.
“Os usuários cujos aparelhos acreditamos que foram afetados foram notificados por meio da interface de usuário do ESG sobre as ações a serem tomadas”, afirmou a empresa. “A Barracuda também entrou em contato com esses clientes específicos. Clientes adicionais podem ser identificados no decorrer da investigação.”
Se você usa o cliente de e-mail ESG da Barracuda, mas não recebeu uma notificação da empresa, atualize o software imediatamente. Você também pode querer tomar as medidas de mitigação que a Barracuda listou em seu edital.