Explotaciones de día cero sospechosas
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA ) mantiene una lista actualizada periódicamente de Vulnerabilidades Explotadas Conocidas (KEV) con el fin de proporcionar una mejor comprensión de las amenazas que plantean las vulnerabilidades de software que se explotan activamente "in the wild".
Recientemente, la agencia emitió una advertencia sobre una vulnerabilidad de día cero encontrada en los dispositivos Barracuda Email Security Gateway (ESG), denotada como CVE-2023-2868, que ahora se ha añadido al KEV.
Esta solución de software en particular es utilizada por más de 200.000 organizaciones en todo el mundo, incluidas empresas muy grandes como Samsung, Mitsubishi, Kraft Heinz y Delta Airlines. El exploit de día cero en cuestión tenía como objetivo los dispositivos ESG de Barracuda, lo que provocó el acceso no autorizado a un subconjunto de estos dispositivos. Inicialmente, se ordenó a las agencias del poder ejecutivo civil federal (FCEB) que parcheasen o mitigasen la vulnerabilidad, pero Barracuda desplegó rápidamente dos parches de seguridad que hicieron innecesaria la directiva.
El fallo se identificó oficialmente el 19 de mayo de 2023, y Barracuda respondió rápidamente aplicando un parche de seguridad a todos los dispositivos ESG el 20 de mayo y bloqueando el acceso de los atacantes al día siguiente. Sin embargo, tras un análisis, se descubrió que el exploit utilizado ya en octubre de 2022 y se había abusado de él activamente durante al menos siete meses antes de que se desplegaran los parches. La investigación de Barracuda descubrió que los actores de la amenaza habían instalado puertas traseras en los dispositivos ESG comprometidos y habían conseguido robar datos.
El exploit dio lugar al despliegue de varias cepas de malware desconocidas hasta entonces, diseñadas específicamente para ser utilizadas en dispositivos ESG comprometidos.
Agua saladapor ejemplo, es un módulo malicioso del demonio SMTP de Barracuda (bsmtpd) que proporciona a los atacantes acceso de puerta trasera a los dispositivos infectados. Otra cepa desplegada durante esta campaña, SeaSpyayuda a monitorizar el tráfico del puerto 25 (SMTP). Los autores de la amenaza también utilizaron un módulo malicioso bsmtpd denominado SeaSide para establecer conexiones inversas mediante comandos SMTP HELO/EHLO enviados a través del servidor de mando y control (C2) del malware.
A pesar de la rápida respuesta de Barracuda y de los posteriores parches desplegados, este caso subraya los riesgos inherentes asociados a las vulnerabilidades del software. El tiempo que transcurre entre la identificación de una vulnerabilidad y el despliegue de un parche representa una ventana de oportunidad para los actores maliciosos. Este período, en el que una vulnerabilidad puede no ser conocida públicamente todavía, permite que los potenciales exploits vuelen bajo el radar de la ciberseguridad.
La especificidad de las herramientas de malware utilizadas, el estrecho acoplamiento con el software habitual de ESG y la forma en que esas herramientas lograron mantener la integridad operativa de ESG al tiempo que añadían comportamientos maliciosos son claros signos reveladores del tiempo que llevó desarrollar, probar y desplegar tales herramientas, y muestra claramente con cuánto tiempo de antelación los actores de la amenaza tuvieron que trabajar en la vulnerabilidad antes de que se reconociera públicamente.
Para mitigar el riesgo de estos ataques, CISA aconseja tanto a las agencias federales como a las empresas privadas que den prioridad a parchear los errores de la lista KEV. También se aconseja a los clientes que se aseguren de que sus dispositivos ESG están actualizados, dejen de utilizar los dispositivos infectados y soliciten un nuevo dispositivo virtual o de hardware, roten todas las credenciales vinculadas a los dispositivos pirateados y comprueben sus registros de red en busca de Indicadores de Compromiso (IoC) y conexiones desde IP desconocidas.
El exploit de día cero de Barracuda pone de relieve la complejidad y los retos constantes que plantea la gestión de las vulnerabilidades del software. Estas vulnerabilidades no surgen simplemente en el momento en que se publican en un rastreador CVE. Se analizan, discuten y probablemente se difunden entre investigadores de seguridad, equipos de desarrollo detrás del software, listas de correo de seguridad y otros puntos de venta antes de ser divulgadas "públicamente". Esto crea una importante ventana de vulnerabilidad en la que el software de seguridad puede no estar aún protegiendo contra la amenaza o ni siquiera detectándola, pero en la que los actores maliciosos pueden estar ya trabajando en el código de explotación o incluso utilizándolo.