Von fischig bis furchterregend: Ein aktualisierter Blick auf die Barracuda ESG Zero-Day-Schwachstelle
In einem kürzlich veröffentlichten Beitrag mit dem Titel "Fishy Zero Day Exploits," haben wir über die Entdeckung eines beunruhigenden Zero-Day-Exploits für das Barracuda Email Security Gateway (ESG) berichtet, einer für die E-Mail-Filterung konzipierten Appliance, die jetzt unter der Bezeichnung CVE-2023-2868.
Jetzt, mit neu veröffentlichten Details aus einer gründlichen Untersuchung von Mandianthaben wir ein vollständigeres Bild dieses Sicherheitsvorfalls, das einen ausgeklügelten, globalen Angriff mit mutmaßlichen Verbindungen zu einem staatlich unterstützten Bedrohungsakteur offenbart.
Der Angriffsvektor
Die Sicherheitslücke wurde erstmals am 23. Mai 2023 bekannt gegeben. Barracuda rät allen ESG-Benutzern, sofort Patches zu installieren, um das Problem zu entschärfen.
Die Schwachstelle liegt in der Handhabung von TAR-E-Mail-Anhängen durch den ESG, bei der unkontrollierte benutzergesteuerte Eingaben einen Command-Injection-Angriff auslösen können. Die TAR-Dateien werden vom ESG über eine Perl-Funktion gescannt. Durch die Benennung einer Datei mit einer kontrollierten Nutzlast kann der Angreifer Befehle mit den Systemprivilegien des ESG ausführen und effektiv Root-Zugriff erlangen:
qx{$tarexec -O -xf $tempdir/parts/$part '$f'}
|
Hier ist $f der Name einer Datei innerhalb des TAR-Archivs. Wie Sie sehen können, wird der Dateiname direkt an "qx" übergeben und ohne jegliche Filterung ausgeführt. Ein Dateiname, der eine Nutzlast enthält, ist im Cybersec-Bereich nichts Neues, und es ist relativ einfach und üblich, Reverse-Shells als "Einzeiler"-Befehl einzusetzen, der auf diesen Dateinamen passen könnte (und auch passt). Wir werden nicht direkt ein solches Beispiel für seine bösartige Verwendung schreiben, aber Beispiele sind mit etwas Google-Fu zugänglich.
Der Akteur der Bedrohung und seine Taktik
Die Analyse von Mandiant, die durch das entschlossene Handeln von Barracuda und die Weitergabe von Informationen erleichtert wurde, ergab, dass der erste bekannte Angriff bereits im Oktober 2022 stattfand, also etwa acht Monate vor der öffentlichen Bekanntgabe.
Der Angreifer, der derzeit als UNC4841 verfolgt wird, nutzte eine clevere Strategie: Er schickte E-Mails mit bösartigen TAR-Dateianhängen an ESG-Appliances. Diese E-Mails wurden absichtlich so gestaltet, dass sie als Spam erscheinen und so die Aufmerksamkeit sowohl der Benutzer, die den Posteingang als Spam meiden, als auch der Administratoren, die im Laufe der Jahre darauf konditioniert wurden, Spam-E-Mails keine Beachtung zu schenken, umgehen.
Sobald die bösartige E-Mail von ESG gescannt und der Code in der TAR-Datei ausgeführt wurde, lud sie zusätzlichen ausführbaren Code aus dem Internet herunter und öffnete eine Reverse Shell auf einem vom Angreifer kontrollierten System. Zur Erinnerung: Eine Reverse Shell ist eine Verbindung, bei der sich im Gegensatz zu herkömmlichen Verbindungen, bei denen sich ein Benutzer mit einem Server verbindet, der Server mit dem Benutzersystem verbindet und die Verbindung herstellt. Auf diese Weise wird vermieden, dass die ESG direkt dem Internet ausgesetzt und von dort aus erreichbar ist, und der Angreifer kann sich dennoch Zugang zu ihr verschaffen.
Dauerhaftigkeit und Entwicklung
Trotz der Veröffentlichung von Patches durch Barracuda zeigten die Angreifer eine alarmierende Anpassungsfähigkeit, indem sie ihre Payload- und Persistenz-Strategie änderten, um die Korrekturen zu umgehen und den Zugang selbst auf gepatchten Systemen zu erhalten. Der überarbeitete Nutzdatencode wurde innerhalb von 2 Tagen nach Bereitstellung der Patches identifiziert.
In diesem Fall hat der Angreifer leider schneller reagiert, als die meisten ESG-Administratoren Patches bereitstellen konnten.
Raffinesse und Vielfalt der Nutzlasten
Die Methoden des Angreifers waren bemerkenswert fortschrittlich, einschließlich der Erstellung voll funktionsfähiger Plugins, um die Funktionalität von ESG im Verborgenen zu erweitern. Die drei identifizierten Backdoor-Payloads waren SEASPY, SALTWATER und SEASIDE, die jeweils einen einzigartigen Backdoor-Zugang bieten.
Zusätzlich wurde ein Rootkit namens SANDBAR verwendet, um die Prozesse der anderen Module zu verbergen. Dieses Rootkit entfernte aus Prozessüberwachungsprogrammen wie "ps", "top" und ähnlichen Tools alle Prozesse, die von anderen am Angriff beteiligten Modulen erzeugt wurden. Es verhinderte, dass diese Prozesse unter "/proc" auftauchten.
Unauffällige Kommunikation und Beharrlichkeit
Der Angreifer verwendete geschickt die selbstsignierten Zertifikate von Barracuda, um seine Kommunikation zu verschlüsseln und sich weiter in das System einzuschleusen. Als Teil des Bereitstellungsprozesses verwendet ESG zunächst selbstsignierte Zertifikate, die im bereitgestellten System verbleiben. Der Angreifer kopiert diese Zertifikate und verwendet sie für seine Kommunikation, so dass sie als normaler Datenverkehr erscheinen.
Es wurden mehrere Wege genutzt, um auf einem System zu bestehen, einschließlich der Verwendung von Cron-Jobs (mit mehreren angehängten Skripten), der Änderung von /etc/init.d/rc, um SEASPY beim Neustart zu starten, und der Bereitstellung von SANDBAR als automatisch ladendes Kernelmodul. Jedes dieser Module hatte Möglichkeiten, die Persistenz wiederherzustellen, falls eines der anderen Module fehlte.
Spezifische Ziele und Zurechnung
Der Angreifer hatte es auf Akademiker, Regierungs- und Handelsvertreter auf der ganzen Welt abgesehen, wobei er sich besonders auf Regionen wie Taiwan, Hongkong und Südostasien konzentrierte. Es wurden mehrere spezifische E-Mail-Adressen gefunden, die in Skripten fest einkodiert waren und als interessante Ziele für die Exfiltration gelten, sobald sie entdeckt werden. Dies geschah zusätzlich zu allen anderen Zielen, die von dem Angriff betroffen waren, ohne dass sie gezielt angegriffen wurden.
Die Liste der Zielpersonen würde geändert, um Zielpersonen aufzunehmen, die Beamte von Ländern sind, die an hochrangigen diplomatischen Ereignissen mit anderen Ländern beteiligt sind, und zwar in der Zeit vor, während und nach solchen Ereignissen.
Das Muster der angegriffenen Organisationen, die Nutzung einer gemeinsamen IP-Infrastruktur mit bereits bekannten Angreifern für die Steuerung und Kontrolle sowie die politischen Motive lassen vermuten, dass es sich bei dieser Kampagne um eine staatlich geförderte Aktion Chinas handelt. Diese Art der Zuordnung ist nie leicht mit 100-prozentiger Sicherheit festzustellen, aber es scheint eine überwältigende Anzahl von Merkmalen zu geben, die auf diese Schlussfolgerung hindeuten.
Empfehlungen für die Zukunft
Als Reaktion auf die Schwere und Raffinesse dieses Angriffs empfiehlt Barracuda jetzt die Isolierung und den Austausch von ESGs anstelle von Patches, unabhängig davon, welchen Patch-Level die ESG-Appliances derzeit haben.
Die Netzwerkaktivität sollte auf übereinstimmende Barracuda-Zertifikate geprüft werden.
Es wurden über hundert verschiedene IOCs veröffentlicht, mit deren Hilfe C&C-Spitzen, verdächtige Systemaktivitäten und andere verräterische Anzeichen für eine Kompromittierung sowohl der ESG als auch anderer Systeme in der Infrastruktur identifiziert werden können, da es einige Hinweise gibt, die darauf hindeuten, dass von einigen ESG-Appliances aus Erkundungen und Scans durchgeführt wurden, die auf andere interne Systeme abzielten, die für die ESG sichtbar waren.
Die E-Mail-Protokolle sollten überprüft werden, um die ursprüngliche Kompromittierung zu identifizieren. Natürlich kann dies schwierig sein, wenn der ESG selbst gemäß den Empfehlungen von Barracuda außer Betrieb ist, aber genau dafür sind zentralisierte Protokollierungssysteme da.
Wie immer ist es der grundlegendste und beste erste Schritt, um ein gewisses Maß an Sicherheit zu erreichen, wenn die Systeme so schnell wie möglich gepatcht werden, auch wenn sie nicht direkt mit dem Internet verbunden sind.
Da sich die Bedrohungen weiterentwickeln, schrumpft auch die akzeptable Zeitspanne zwischen ihrer Aufdeckung und ihrer Beseitigung.
[Offenlegung: Der Autor gibt zu, dass er ChatGPT zur Unterstützung bei der Formulierung einiger Teile dieses Artikels verwendet hat.]