黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备

2023年5月31日22:06:59评论57 views字数 1313阅读4分22秒阅读模式

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Barracuda 公司表示，黑客利用0day (CVE-2023-2868) 攻陷某些客户的 ESG 设备，并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量，但证实称，“CVE-2023-2868遭利用的最早证据可追溯至2022年10月。”

0day 遭利用，Barracuda ESG 设备被安装后门

5月23日，Barracuda 公司公开证实称，攻击者已利用 CVE-2023-2868 攻陷多家组织机构的邮件安全网关本地物理设备。今天，该公司证实称，修复该RCE漏洞的第一个补丁在5月20日应用到全球所有的 ESG 设备中，并且提供了“部署到所有受影响设备以阻止该事件并应对越权访问的”脚本。

Mandiant 公司的网络安全专家协助分析指出，受影响设备上至少被释放了三种不同的恶意 payload：

SALTWATER：为 Barracuda SMTP 守护进程 (bsmtpd) 设计的木马化模块，是具有代理和隧道能力的后门，可导致攻击者上传或下载任意文件并执行命令。
SEASPY：一款 x64 ELF 持久后门，伪装成 Barracuda Networks 合法服务且自称为 PCAP 过滤器用于监控端口25的流量。
SEASIDE：适用于 Barracuda SMTP 守护进程 (bsmtpd) 的基于 Lua 的模块，与攻击者的C2服务器建立连接并有助于建立反向shell（以提供系统访问权限）。

Mandiant 公司提到，SEASPY 和 cd00r （公开发布的 PoC 后门）之间存在一些重合之处，但该恶意软件尚未证实与任何特定威胁行动者之间存在关联。

建议

Barracuda 公司对受影响 ESG 客户的建议是：

Barracuda 公司还提供 YARA 规则，帮助组织机构捕获利用该漏洞的恶意 TAR 文件。该公司指出，“后续我们将向所有设备部署一系列安全补丁。”

CISA已将该漏洞加入必修清单中。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

原文链接

https://www.helpnetsecurity.com/2023/05/30/barracuda-esg-zero-day/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备觉得不错，就点个 “在看” 或 "赞” 吧~

原文始发于微信公众号（代码卫士）：黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备

基于密码的卫星互联网安全防护体系研究