梭子鱼零日漏洞被利用长达七个月

网络和电子邮件安全公司梭子鱼（Barracuda Networks）本周三透露，其10天前修补的零日漏洞已被利用至少七个月，攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。

梭子鱼于5月18日收到邮件安全网关（ESG）设备可疑流量的警报，一天后发现该零日漏洞并聘请网络安全公司Mandiant协助调查。

该零日漏洞（CVE-2023-2868）是一个远程命令注入漏洞，因用户提供的.tar文件（用于打包或存档多个文件）的输入验证不完整所致。当文件名以特定方式格式化时，攻击者可以通过QX运算符执行系统命令，QX运算符是Perl编程语言中处理引号的函数。该零日漏洞存在于梭子鱼邮件安全网关（ESG）5.1.3.001至9.2.0.006版本中。

梭子鱼表示，正在进行的调查发现，该漏洞于2022年10月首次被利用，攻击者访问了“ESG设备的一个子集”，并部署了后门用于对受感染系统的持久访问。

梭子鱼还发现了攻击者从其邮件安全网关设备窃取信息的证据。

梭子鱼于5月20日向所有邮件安全网关设备推送安全补丁解决了该问题，并在一天后通过部署专用脚本阻止攻击者访问受感染的设备。

5月24日，梭子鱼警告客户其邮件安全网关设备可能已被攻击者利用零日漏洞入侵，建议他们展开安全审查，确保攻击者没有横向移动到网络上的其他设备。

CISA上周五将梭子鱼零日漏洞（CVE-2023-2868）添加到其已知被利用漏洞列表中，并向所有使用梭子鱼邮件安全网关设备的联邦机构发出警告，要求立即检查网络是否存在被入侵迹象。

三个定制恶意软件

安全专家在调查过程中发现了三种以前未知的恶意软件，专门为受感染的邮件安全网关产品定制开发。三个恶意软件分别命名为Saltwater、Seaside和Seaspy。

其中Saltwater是一个木马化的梭子鱼SMTP守护程序（bsmtpd）模块，为攻击者提供对受感染设备的后门访问。

Saltwater的“功能”包括在受感染的设备上执行命令、传输文件，以及提供代理和隧道功能帮助恶意流量逃避检测。

另一种定制恶意软件SeaSpy可提供持久性，可用“魔术数据包”激活，该数据包只有攻击者知道。Barracuda聘请调查攻击的安全公司Mandiant表示，SeaSpy帮助监控端口25（SMTP）流量，某些代码与公开可用的cd00r被动后门重叠。

第三个恶意软件模块是SeaSide，通过恶意软件的命令和控制（C2）服务器发送的SMTP HELO/EHLO命令建立反向外壳。

Seaside是ELF（可执行和可链接格式）的x64可执行文件，它将二进制文件、库和核心转储存储在Linux和Unix系统中的磁盘上。Seaside是一个持久性后门，会伪装成合法的梭子鱼网络服务——PCAP过滤器，用于捕获流经网络的数据包并执行各种操作。Seaside还能监视端口25（该端口用SMTP电子邮件发件服务）。

缓解措施

梭子鱼给客户的缓解措施如下：

1.确保您的ESG设备正在接收并应用梭子鱼的更新、定义和安全补丁。联系梭子鱼支持以验证设备是否为最新版本。

2.停用受感染的ESG设备，并联系梭子鱼支持以获取新的ESG虚拟或硬件设备。

3.轮换连接到ESG设备的任何适用凭据：

• 任何连接的LDAP/AD
• 梭子鱼云控制
• FTP服务器
• SMB
• 任何私有TLS证书

根据梭子鱼的公告，其产品被超过200万家企业和机构使用，包括三星、达美航空、三菱和卡夫亨氏等知名公司。