ثغرة خطيرة تم تصحيحها قبل 10 أيام في برامج البريد الإلكتروني المستخدمة على نطاق واسع من شركة أمن تكنولوجيا المعلومات Barracuda Networks تتعرض للاستغلال النشط منذ أكتوبر. قال باراكودا يوم الثلاثاء إن الثغرة الأمنية استخدمت لتثبيت أجزاء متعددة من البرامج الضارة داخل شبكات المؤسسات الكبيرة وسرقة البيانات.
يعد خطأ البرنامج ، الذي تم تتبعه على أنه CVE-2023-2868 ، ثغرة أمنية لحقن الأوامر عن بُعد والتي تنبع من التحقق من صحة الإدخال غير الكامل لملفات .tar التي يوفرها المستخدم ، والتي تُستخدم لحزم أو أرشفة ملفات متعددة. عندما يتم تنسيق أسماء الملفات بطريقة معينة ، يمكن للمهاجم تنفيذ أوامر النظام من خلال مشغل QX ، وهي وظيفة في لغة برمجة Perl تتعامل مع علامات الاقتباس. توجد الثغرة الأمنية في إصدارات Barracuda Email Security Gateway من 5.1.3.001 إلى 9.2.0.006 ؛ أصدر باراكودا رقعة قبل 10 أيام.
أبلغ باراكودا العملاء يوم الثلاثاء أن CVE-2023-2868 يخضع للاستغلال النشط منذ أكتوبر في هجمات سمحت للجهات الفاعلة في التهديد بتثبيت أجزاء متعددة من البرامج الضارة لاستخدامها في إخراج البيانات الحساسة من الشبكات المصابة.
ذكر إشعار يوم الثلاثاء “المستخدمين الذين نعتقد أن أجهزتهم قد تأثرت تم إخطارهم عبر واجهة مستخدم ESG بالإجراءات التي يجب اتخاذها”. لقد تواصلت Barracuda أيضًا مع هؤلاء العملاء المحددين. قد يتم تحديد عملاء إضافيين في سياق التحقيق “.
البرامج الضارة التي تم تحديدها حتى الآن تشمل الحزم المتعقبة مثل المياه المالحة وشاطئ البحر وسيبي. المياه المالحة هي وحدة ضارة لبرنامج SMTP الخفي (bsmtpd) الذي يستخدمه Barracuda ESG. تحتوي الوحدة على وظيفة الباب الخلفي التي تتضمن القدرة على تحميل أو تنزيل ملفات عشوائية وتنفيذ الأوامر وتوفير إمكانيات الوكيل والنفق.
Seaside هو x64 قابل للتنفيذ في ELF (تنسيق قابل للتنفيذ وقابل للربط) ، والذي يخزن الثنائيات والمكتبات والتفريغ الأساسي على الأقراص في Linux والأنظمة المستندة إلى Unix. إنه يوفر بابًا خلفيًا ثابتًا يمثل خدمة شرعية لشبكات Barracuda ويؤسس نفسه كمرشح PCAP لالتقاط حزم البيانات المتدفقة عبر الشبكة وتنفيذ عمليات مختلفة. يراقب Seaside التتبع على المنفذ 25 ، والذي يستخدم للبريد الإلكتروني المستند إلى SMTP.
يمكن تفعيلها باستخدام “حزمة سحرية” لا يعرفها سوى المهاجم ولكنها تبدو غير ضارة للآخرين. قالت Mandiant ، شركة الأمن Barracuda التي استأجرتها للتحقيق في الهجمات ، إنها وجدت رمزًا في Seaspy يتداخل مع الباب الخلفي cd00r المتاح للجمهور.
في الوقت نفسه ، يعد Seaside وحدة نمطية لبرنامج Barracuda SMTP daemon (bsmtpd) الذي يراقب الأوامر ، بما في ذلك SMTP HELO / EHLO لتلقي عنوان IP للأمر والتحكم ومنفذ لإنشاء غلاف عكسي.
يتضمن إشعار الثلاثاء تجزئة التشفير وعناوين IP ومواقع الملفات ومؤشرات الاختراق الأخرى المرتبطة باستغلال CVE-2023-2868 وتثبيت البرامج الضارة. كما حث مسؤولو الشركة جميع العملاء المتأثرين على اتخاذ الإجراءات التالية:
- تأكد من أن جهاز ESG الخاص بك يتلقى ويطبق التحديثات والتعريفات وتصحيحات الأمان من Barracuda. اتصل بدعم Barracuda (support@barracuda.com) للتحقق مما إذا كان الجهاز محدثًا.
- توقف عن استخدام جهاز ESG المخترق واتصل بدعم Barracuda (support@barracuda.com) للحصول على جهاز ESG افتراضي أو جهاز جديد.
- قم بتدوير أي بيانات اعتماد قابلة للتطبيق متصلة بجهاز ESG:
س أي LDAP / AD متصل
o التحكم في سحابة Barracuda
o خادم FTP
يا SMB
o أي شهادات TLS خاصة- قم بمراجعة سجلات الشبكة الخاصة بك بحثًا عن أي من ملفات [indicators of compromise] وأي عناوين IP غير معروفة. تواصل مع الامتثال@barracuda.com إذا تم تحديد أي منها.
أضافت وكالة الأمن السيبراني وأمن البنية التحتية يوم الجمعة CVE-2023-2868 إلى قائمة نقاط الضعف المعروفة التي تم استغلالها.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
