ClickCease Fischige Zero-Day-Exploits

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Fischige Zero-Day-Exploits

Joao Correia

Juni 8, 2023 - Technischer Evangelist

Die Agentur für Cybersicherheit und Infrastruktursicherheit ( Cybersecurity and Infrastructure Security Agency , CISA) führt eine regelmäßig aktualisierte Liste bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV), um ein besseres Verständnis der Bedrohungen durch Software-Schwachstellen, die aktiv "in the wild" ausgenutzt werden, zu ermöglichen.

 

Kürzlich hat die Behörde eine Warnung vor einer Zero-Day-Schwachstelle in Barracuda Email Security Gateway (ESG) Appliances herausgegeben, die als CVE-2023-2868 bezeichnet wird und nun in das KEV aufgenommen worden ist.

 

Diese spezielle Softwarelösung wird von mehr als 200.000 Unternehmen weltweit eingesetzt, darunter auch sehr große Firmen wie Samsung, Mitsubishi, Kraft Heinz und Delta Airlines. Der fragliche Zero-Day-Exploit zielte auf die ESG-Appliances von Barracuda ab und führte zu einem unbefugten Zugriff auf eine Teilmenge dieser Geräte. Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch Agencies, FCEB) wurden zunächst angewiesen, die Schwachstelle zu patchen oder zu entschärfen, doch Barracuda stellte rasch zwei Sicherheitspatches bereit, so dass diese Anweisung nicht mehr erforderlich war.

 

Die Schwachstelle wurde offiziell am 19. Mai 2023 entdeckt, und Barracuda reagierte umgehend, indem es am 20. Mai ein Sicherheits-Patch auf alle ESG-Appliances aufspielte und am folgenden Tag den Zugang der Angreifer blockierte. Nach einer Analyse wurde jedoch festgestellt, dass der Exploit bereits im Oktober 2022 genutzt wurde genutzt und mindestens sieben Monate lang aktiv missbraucht worden war, bevor die Patches installiert wurden. Die Untersuchung von Barracuda ergab, dass Bedrohungsakteure Hintertüren auf kompromittierten ESG-Appliances installiert hatten und es ihnen gelungen war, Daten zu stehlen.

 

Die Sicherheitslücke führte zur Verbreitung mehrerer bisher unbekannter Malware-Stämme, die speziell für den Einsatz auf kompromittierten ESG-Appliances entwickelt wurden. 

 

Saltwaterist beispielsweise ein bösartiges Modul des Barracuda SMTP-Daemons (bsmtpd), das Angreifern einen Backdoor-Zugang zu infizierten Geräten ermöglicht. Ein weiterer Stamm, der während dieser Kampagne eingesetzt wurde, SeaSpyhilft bei der Überwachung des Datenverkehrs an Port 25 (SMTP). Die Bedrohungsakteure verwendeten auch ein bsmtpd-Baumodul mit der Bezeichnung SeaSide um Reverse-Shells über SMTP-HELO/EHLO-Befehle einzurichten, die über den Command-and-Control-Server (C2) der Malware gesendet wurden.

 

Trotz der schnellen Reaktion von Barracuda und der daraufhin bereitgestellten Patches unterstreicht dieser Fall die inhärenten Risiken im Zusammenhang mit Software-Schwachstellen. Die Zeit, die zwischen der Identifizierung einer Schwachstelle und der Bereitstellung eines Patches verstreicht, stellt für böswillige Akteure ein Zeitfenster dar. In dieser Zeit, in der eine Schwachstelle möglicherweise noch nicht öffentlich bekannt ist, können potenzielle Angriffe unter dem Radar der Cybersicherheit fliegen. 

 

Die Besonderheit der verwendeten Malware-Tools, die enge Verknüpfung mit der regulären Software der ESG und die Art und Weise, wie diese Tools die betriebliche Integrität der ESG aufrechterhalten und gleichzeitig bösartiges Verhalten hinzufügen konnten, sind eindeutige Anzeichen dafür, wie viel Zeit die Entwicklung, das Testen und der Einsatz solcher Tools in Anspruch genommen hat, und zeigen deutlich wie lange im Voraus die Bedrohungsakteure an der Sicherheitslücke arbeiten mussten, bevor sie öffentlich bekannt wurde.

 

Um das Risiko solcher Angriffe zu mindern, rät die CISA sowohl Bundesbehörden als auch Privatunternehmen, vorrangig die Fehler auf der KEV-Liste zu beheben. Den Kunden wird außerdem empfohlen, sicherzustellen, dass ihre ESG-Appliances auf dem neuesten Stand sind, die Verwendung der angegriffenen Appliances einzustellen und eine neue virtuelle oder Hardware-Appliance anzufordern, alle mit den gehackten Appliances verknüpften Anmeldeinformationen zu ändern und ihre Netzwerkprotokolle auf Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und Verbindungen von unbekannten IPs zu überprüfen.

 

Das Zero-Day-Exploit von Barracuda unterstreicht die Komplexität und die ständigen Herausforderungen bei der Verwaltung von Softwareschwachstellen. Diese Schwachstellen entstehen nicht einfach in dem Moment, in dem sie in einem CVE-Tracker veröffentlicht werden. Sie werden analysiert, diskutiert und wahrscheinlich zwischen Sicherheitsforschern, Entwicklungsteams hinter der Software, Sicherheits-Mailinglisten und anderen Stellen verbreitet, bevor sie "öffentlich" bekannt werden. Dadurch entsteht ein bedeutendes Fenster der Verwundbarkeit, in dem Sicherheitssoftware möglicherweise noch nicht vor der Bedrohung schützt oder sie sogar erkennt, in dem aber böswillige Akteure bereits an einem Exploit-Code arbeiten oder ihn sogar verwenden können.

Zusammenfassung
Fischige Zero-Day-Exploits
Artikel Name
Fischige Zero-Day-Exploits
Beschreibung
Erfahren Sie mehr über die jüngsten Zero-Day-Exploits in Barracudas Email Security Gateway Appliances und deren Auswirkungen auf Software-Schwachstellen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter