ClickCease Una mirada actualizada a la vulnerabilidad de día cero de Barracuda ESG

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

De sospechoso a formidable: Una mirada actualizada a la vulnerabilidad de día cero de Barracuda ESG

Joao Correia

28 de junio de 2023 - Evangelista técnico

En un publicación reciente titulada "Fishy Zero Day Exploits" (Explotaciones de día cero sospechosas) destacábamos el descubrimiento de un preocupante exploit de día cero de Barracuda Email Security Gateway (ESG), un dispositivo diseñado para el filtrado de correo electrónico, ahora reconocido como CVE-2023-2868.

 

Ahora, con los nuevos detalles publicados de una investigación en profundidad de Mandianttenemos una imagen más completa de este incidente de seguridad que revela un sofisticado ataque global con presuntos vínculos con un agente de amenazas patrocinado por el Estado.

 

El vector de ataque

 

El exploit se reveló inicialmente el 23 de mayo de 2023, y Barracuda aconsejó a todos los usuarios de ESG que desplegaran inmediatamente parches para mitigar el problema. 

 

La vulnerabilidad radica en el manejo que hace el ESG de los archivos TAR adjuntos a los correos electrónicos, en los que una entrada no desinfectada y controlada por el usuario puede desencadenar un ataque de inyección de comandos. Los archivos TAR son escaneados por el ESG a través de una función Perl, y al nombrar un archivo con una carga útil controlada, el atacante puede ejecutar comandos con los privilegios del sistema del ESG, obteniendo efectivamente acceso root:

 

qx{$tarexec -O -xf $tempdir/parts/$part '$f'}

 

Aquí, $f es el nombre de un fichero dentro del archivo TAR. Como puede ver, el nombre de archivo se pasa directamente a "qx" y se ejecuta tal cual sin ningún filtro. Un nombre de archivo que contiene un payload no es nada nuevo en el campo de la ciberseguridad, y es relativamente fácil y común desplegar reverse shells como un comando "one-liner" que podría (y lo hizo) encajar con este nombre de archivo. Nos abstendremos de escribir directamente un ejemplo de este tipo por sus usos maliciosos, pero los ejemplos son accesibles a través de un poco de google-fu.

 

El actor de la amenaza y sus tácticas

 

El análisis de Mandiant, facilitado por las acciones decisivas y el intercambio de información de Barracuda, reveló que el primer ataque conocido se produjo ya en octubre de 2022, unos ocho meses antes del reconocimiento público.

 

El atacante, actualmente rastreado como UNC4841, utilizó una estrategia inteligente: envió correos electrónicos que contenían archivos TAR maliciosos adjuntos a dispositivos ESG. Estos correos electrónicos se diseñaron deliberadamente para que parecieran spam, evitando así la atención tanto de los usuarios, al evitar la bandeja de entrada como spam, como de los administradores, que a lo largo de los años han sido condicionados a no prestar atención inmediatamente a los correos spam. 

 

Una vez que el correo electrónico malicioso era escaneado por ESG, y el código dentro del archivo TAR era ejecutado, descargaba código ejecutable adicional de Internet y abría una shell inversa a un sistema controlado por el atacante. Como recordatorio, una shell inversa es una conexión que, a diferencia de las conexiones tradicionales en las que un usuario se conecta a un servidor, el servidor en su lugar se conecta al sistema del usuario y establece la conexión. Esto evita la necesidad de que el ESG esté directamente expuesto y accesible a (y desde) Internet, y aún así permite al atacante entrar en él.

 

Persistencia y evolución

 

A pesar de la publicación del parche por parte de Barracuda, el atacante mostró una alarmante capacidad de adaptación al alterar su carga útil y su estrategia de persistencia para evitar las correcciones y mantener el acceso, incluso en los sistemas parcheados. El código revisado de la carga útil se identificó dos días después de que los parches estuvieran disponibles. 

 

En este caso, por desgracia, el atacante respondió más rápido que la mayoría de los administradores de ESG desplegaron parches.

 

Sofisticación y variedad de cargas útiles

 

Los métodos del atacante eran notablemente avanzados, incluyendo la creación de plugins totalmente funcionales para ampliar la funcionalidad de ESG de forma encubierta. Se identificaron tres cargas útiles de puerta trasera: SEASPY, SALTWATER y SEASIDE, cada una de las cuales proporcionaba un acceso de puerta trasera único. 

 

Además, se utilizó un rootkit llamado SANDBAR para mantener la persistencia ocultando los procesos de los otros módulos. Este rootkit eliminaba de las herramientas de monitorización de procesos -como "ps", "top" y similares- cualquier proceso generado por otros módulos implicados en el ataque. Funcionaba prohibiendo que estos procesos aparecieran en "/proc". 

Comunicación sigilosa y persistencia

 

El atacante reutilizó hábilmente los certificados autofirmados de Barracuda para cifrar sus comunicaciones, mimetizándose aún más con el sistema. Como parte de su proceso de despliegue, ESG utiliza inicialmente certificados autofirmados, que se dejan en el sistema desplegado. El atacante copiaba y utilizaba esos certificados para sus comunicaciones, apareciendo así como tráfico normal.

 

Se utilizaron múltiples caminos para persistir en un sistema, incluyendo la utilización de cron jobs (con múltiples scripts adjuntos), modificando /etc/init.d/rc para iniciar SEASPY al reiniciar, y desplegando SANDBAR como un módulo del kernel de carga automática. Cada uno de ellos tenía formas de restablecer la persistencia en caso de que faltara alguno de los otros módulos.

 

Objetivos específicos y atribución

 

El atacante se dirigió a académicos, funcionarios gubernamentales y comerciales de todo el mundo, con especial atención a regiones como Taiwán, Hong Kong y el sudeste asiático. Se encontraron varias direcciones de correo electrónico específicas codificadas en scripts, consideradas objetivos interesantes para la filtración cuando se detectan. Esto se sumó a todos los demás objetivos capturados en el ataque que se vieron afectados sin ser atacados específicamente.

 

La lista de objetivos se modificaría para dar cabida a objetivos que fueran funcionarios de países comprometidos en actos diplomáticos de alto nivel con otros países, en los periodos previos, durante y posteriores a dichos actos.

 

El patrón de organizaciones objetivo, la utilización de infraestructura IP compartida con atacantes previamente conocidos para el mando y control, y los motivos políticos sugieren que esta campaña es un acto patrocinado por China. Este tipo de atribución nunca es fácil de precisar con un 100% de certeza, pero parece haber un número abrumador de características que apuntan a esta conclusión.

 

Recomendaciones para el futuro

 

En respuesta a la gravedad y sofisticación de este ataque, Barracuda recomienda ahora aislar y sustituir los ESG en lugar de aplicar parches, independientemente del nivel de parche que tengan actualmente los dispositivos ESG.

 

Se debe inspeccionar la actividad de la red en busca de certificados Barracuda coincidentes. 

 

Se han publicado más de cien IOC diferentes que ayudan a identificar C&C ips, actividades sospechosas del sistema y otros signos reveladores de compromiso, tanto en ESG como en otros sistemas de la infraestructura, ya que hay algunas pruebas que sugieren que el reconocimiento y el escaneo se realizaron desde algunos dispositivos ESG, dirigidos a otros sistemas internos visibles para el ESG.

 

Los registros de correo electrónico deben ser revisados para identificar el compromiso inicial. Por supuesto, esto puede ser complicado con el propio ESG fuera de servicio según las recomendaciones de Barracuda, pero para eso están los sistemas de registro centralizados.

 

Como siempre, mantener los sistemas parcheados lo antes posible, incluso cuando esos sistemas no están expuestos directamente a Internet, sigue siendo el primer paso más básico y mejor para lograr cierta seguridad. 

 

A medida que evolucionan las amenazas, también se reduce el tiempo aceptable entre la revelación y la corrección.

 

[Divulgación: el autor agradece el uso de ChatGPT para ayudar en la redacción de algunas partes de este artículo].

 

Resumen
De sospechoso a formidable: Una mirada actualizada a la vulnerabilidad de día cero de Barracuda ESG
Nombre del artículo
De sospechoso a formidable: Una mirada actualizada a la vulnerabilidad de día cero de Barracuda ESG
Descripción
Lea el descubrimiento de un preocupante exploit de día cero de Barracuda Email Security Gateway, un dispositivo para el filtrado de correo electrónico.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín