ClickCease Mise à jour de la vulnérabilité Zero-Day de Barracuda ESG

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

De louche à redoutable : Une mise à jour de la vulnérabilité Zero-Day de Barracuda ESG

Joao Correia

28 juin 2023 - Évangéliste technique

Dans un récent intitulé "Fishy Zero Day Exploits", nous avons décrit la découverte d'un troublant exploit de type "zero-day" de Barracuda Email Security Gateway nous avons décrit la découverte d'un troublant exploit zero-day de Barracuda Email Security Gateway (ESG), un appareil conçu pour le filtrage des courriels, maintenant reconnu comme la CVE-2023-2868.

 

Aujourd'hui, grâce à de nouveaux détails issus d'une enquête approfondie menée par Mandiantnous avons une image plus complète de cet incident de sécurité qui révèle une attaque sophistiquée et globale avec des liens présumés avec un acteur de menace parrainé par un État.

 

Le vecteur d'attaque

 

L'exploit a été initialement révélé le 23 mai 2023, et Barracuda a conseillé à tous les utilisateurs d'ESG de déployer immédiatement des correctifs pour atténuer le problème. 

 

La vulnérabilité réside dans le traitement par l'ESG des pièces jointes TAR, dans lesquelles une entrée non nettoyée contrôlée par l'utilisateur peut déclencher une attaque par injection de commande. Les fichiers TAR sont analysés par l'ESG au moyen d'une fonction Perl, et en nommant un fichier avec une charge utile contrôlée, l'attaquant peut exécuter des commandes avec les privilèges du système de l'ESG, obtenant ainsi l'accès à la racine :

 

qx{$tarexec -O -xf $tempdir/parts/$part '$f'}

 

Ici, $f est le nom d'un fichier dans l'archive TAR. Comme vous pouvez le constater, le nom de fichier est transmis directement à "qx" et est exécuté tel quel sans aucun filtrage. Un nom de fichier contenant une charge utile n'est pas nouveau dans le domaine de la cybersécurité, et il est relativement facile et courant de déployer des shells inversés comme une commande "one-liner" qui pourrait correspondre (et correspondait) à ce nom de fichier. Nous nous abstiendrons d'écrire directement un tel exemple pour ses utilisations malveillantes, mais des exemples sont accessibles par le biais de google-fu.

 

L'acteur de la menace et ses tactiques

 

L'analyse de Mandiant, facilitée par les actions décisives et le partage d'informations de Barracuda, a révélé que la première attaque connue avait eu lieu dès octobre 2022, soit huit mois avant la reconnaissance publique.

 

L'attaquant, actuellement identifié sous le nom de UNC4841, a utilisé une stratégie astucieuse : il a envoyé des courriels contenant des pièces jointes de fichiers TAR malveillants aux appareils de l'ESG. Ces courriels ont été délibérément conçus pour apparaître comme du spam, évitant ainsi l'attention des utilisateurs, en évitant la boîte de réception en tant que spam, et des administrateurs, qui ont été conditionnés au fil des ans à ne pas prêter attention aux courriels de spam. 

 

Une fois le courriel malveillant analysé par ESG et le code contenu dans le fichier TAR exécuté, il téléchargeait un code exécutable supplémentaire sur Internet et ouvrait un shell inversé vers un système contrôlé par l'attaquant. Pour rappel, un reverse shell est une connexion qui, contrairement aux connexions traditionnelles où un utilisateur se connecte à un serveur, le serveur se connecte au système de l'utilisateur et établit la connexion. Cela évite au GSE d'être directement exposé et accessible à (et depuis) l'Internet, tout en permettant à l'attaquant d'y pénétrer.

 

Persistance et évolution

 

Malgré la publication des correctifs par Barracuda, l'attaquant a fait preuve d'une capacité d'adaptation alarmante en modifiant sa charge utile et sa stratégie de persistance afin d'éviter les correctifs et de conserver l'accès, même sur les systèmes patchés. Le code révisé de la charge utile a été identifié dans les deux jours qui ont suivi la mise à disposition des correctifs. 

 

Dans ce cas, malheureusement, l'attaquant a réagi plus rapidement que la plupart des administrateurs du GSE n'ont déployé de correctifs.

 

Sophistication et variété des charges utiles

 

Les méthodes de l'attaquant étaient particulièrement avancées, y compris la création de plugins entièrement fonctionnels pour étendre secrètement les fonctionnalités d'ESG. Trois charges utiles de porte dérobée ont été identifiées : SEASPY, SALTWATER et SEASIDE, chacune fournissant un accès unique à la porte dérobée. 

 

En outre, un rootkit nommé SANDBAR a été utilisé pour maintenir la persistance en cachant les processus des autres modules. Ce rootkit supprimait des outils de surveillance des processus tels que "ps", "top" et autres outils similaires, tous les processus créés par d'autres modules impliqués dans l'attaque. Il interdisait à ces processus d'apparaître dans "/proc". 

Communication furtive et persistance

 

L'attaquant a astucieusement réutilisé les certificats auto-signés de Barracuda pour chiffrer ses communications, se fondant ainsi davantage dans le système. Dans le cadre de son processus de déploiement, ESG utilise initialement des certificats auto-signés, qui sont laissés dans le système déployé. L'attaquant copierait et utiliserait ces certificats pour ses communications, apparaissant ainsi comme un trafic normal.

 

Plusieurs méthodes ont été utilisées pour assurer la persistance sur un système, notamment l'utilisation de tâches cron (avec plusieurs scripts attachés), la modification de /etc/init.d/rc pour lancer SEASPY au redémarrage, et le déploiement de SANDBAR en tant que module du noyau à chargement automatique. Chacun de ces modules avait des moyens de rétablir la persistance en cas d'absence de l'un des autres modules.

 

Objectifs spécifiques et attribution

 

L'attaquant a ciblé des universitaires, des fonctionnaires et des représentants du commerce dans le monde entier, en particulier dans des régions telles que Taïwan, Hong Kong et l'Asie du Sud-Est. De nombreuses adresses électroniques spécifiques ont été trouvées codées en dur dans des scripts, considérées comme des cibles intéressantes pour l'exfiltration lorsqu'elles sont détectées. Ces adresses s'ajoutent à toutes les autres cibles visées par l'attaque, qui ont été affectées sans avoir été spécifiquement ciblées.

 

La liste des cibles serait modifiée pour inclure des cibles qui étaient des fonctionnaires de pays engagés dans des événements diplomatiques de haut niveau avec d'autres pays, au cours des périodes précédant, pendant et après ces événements.

 

Le schéma des organisations ciblées, l'utilisation d'une infrastructure IP partagée avec des attaquants déjà connus pour le commandement et le contrôle, et les motifs politiques suggèrent que cette campagne est un acte parrainé par l'État chinois. Ce type d'attribution n'est jamais facile à déterminer avec une certitude absolue, mais un nombre impressionnant de caractéristiques semblent mener à cette conclusion.

 

Recommandations pour l'avenir

 

En réponse à la gravité et à la sophistication de cette attaque, Barracuda recommande désormais d'isoler et de remplacer les ESG plutôt que d'appliquer des correctifs, quel que soit le niveau de correctif dont disposent actuellement les appliances ESG.

 

L'activité du réseau doit être inspectée pour vérifier si les certificats Barracuda correspondent. 

 

Plus d'une centaine d'IOC différents ont été publiés pour aider à identifier les ips C&C, les activités suspectes du système et d'autres signes révélateurs de compromission, à la fois sur le GSE et sur d'autres systèmes de l'infrastructure, car il existe des preuves qui suggèrent que la reconnaissance et le balayage ont été effectués à partir de certains appareils du GSE, ciblant d'autres systèmes internes visibles par le GSE.

 

Les journaux de courrier électronique doivent être examinés afin d'identifier la compromission initiale. Bien sûr, cela peut s'avérer délicat lorsque le GSE lui-même est hors service, conformément aux recommandations de Barracuda, mais c'est à cela que servent les systèmes de journalisation centralisés.

 

Comme toujours, l'application de correctifs aux systèmes dès que possible, même lorsque ces systèmes ne sont pas directement exposés à l'internet, reste la première étape la plus élémentaire et la plus efficace pour assurer une certaine sécurité. 

 

Les menaces évoluent et le délai acceptable entre la divulgation de l'information et la prise de mesures correctives se réduit lui aussi.

 

[Divulgation : l'auteur reconnaît avoir utilisé ChatGPT pour l'aider à formuler certaines parties de cet article].

 

Résumé
De louche à redoutable : Une mise à jour de la vulnérabilité Zero-Day de Barracuda ESG
Nom de l'article
De louche à redoutable : Une mise à jour de la vulnérabilité Zero-Day de Barracuda ESG
Description
Lisez la découverte d'un troublant exploit de type "zero-day" de la passerelle Barracuda Email Security Gateway, un dispositif de filtrage des courriers électroniques.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information