技術支援
文件
登錄
聯繫我們
魚腥的零日漏洞利用
若昂·科雷亞
2023年6月8 日 - 技術佈道師
網路安全和基礎設施安全域 (CISA ) 維護定期更新的已知被利用漏洞 (KEV) 清單,以便更好地瞭解“野外”積極利用的軟體漏洞帶來的威脅。
最近,該機構發佈了關於梭子魚郵件安全閘道(ESG)設備中發現的零日漏洞的警告,該漏洞表示為CVE-2023-2868,現已添加到KEV中。
全球有超過 200,000 家組織使用這種特殊的軟體解決方案,包括三星、三菱、卡夫亨氏和達美航空等非常大的公司。有問題的零日漏洞利用針對梭子魚的ESG設備,導致未經授權訪問這些設備的子集。聯邦民事行政部門機構(FCEB)最初被指示修補或緩解漏洞,但梭子魚迅速部署了兩個安全補丁,使該指令變得不必要。
該漏洞於2023年5月19日正式發現,梭子魚迅速做出回應,於5月20日對所有ESG設備應用了安全補丁,並在第二天阻止了攻擊者的訪問。但是,經過分析,發現該漏洞 早在 2022 年 10 月就已被使用 ,並且在部署補丁之前已被積極濫用至少七個月。梭子魚的調查發現,威脅行為者在受感染的ESG設備上安裝了後門,並設法竊取了數據。
該漏洞導致部署了幾種以前未知的惡意軟體,專門設計用於受感染的ESG設備。
例如,Saltwater是一個惡意的梭子魚SMTP守護程式(bsmtpd)模組,它為攻擊者提供了對受感染設備的後門訪問。在此活動期間部署的另一個菌株SeaSpy有助於監控埠25(SMTP)流量。威脅行為者還使用名為SeaSide的bsmtpd惡意模組, 透過透過惡意軟體的命令和控制(C2)伺服器發送的SMTP HELO / EHLO命令建立反向外殼。
儘管梭子魚迅速做出反應並隨後部署了補丁,但此案例突顯了與軟體漏洞相關的固有風險。從識別漏洞到部署修補程式之間的時間對於惡意行為者來說是一個機會之窗。在此期間,漏洞可能尚未公開,允許潛在的漏洞在網路安全雷達下飛行。
所用惡意軟體工具的特殊性、與ESG常規軟體的緊密耦合,以及這些工具如何在添加惡意行為的同時設法保持ESG的運營完整性,這些都是開發、測試和部署此類工具需要多長時間的明顯跡象,並清楚地表明 威脅行為者在公開承認漏洞之前必須提前多長時間處理漏洞。
為了降低此類攻擊的風險,CISA建議聯邦機構和私營公司優先修補KEV清單中的錯誤。還建議客戶確保其 ESG 設備是最新的,停止使用被破壞的設備並請求新的虛擬或硬體設備,輪換連結到被駭客入侵設備的所有憑據,並檢查其網路日誌中的入侵指標 (IoC) 和來自未知 IP 的連接。
梭子魚零日漏洞利用凸顯了管理軟體漏洞的複雜性和持續挑戰。這些漏洞並不是在 CVE 跟蹤器上發佈的那一刻就存在的。在「公開」洩露之前,它們會被分析、討論,並可能在安全研究人員、軟體背後的開發團隊、安全郵件清單和其他管道之間傳播。這創造了一個重要的漏洞視窗,其中安全軟體可能尚未防範甚至檢測威脅,但惡意行為者可能已經在處理漏洞利用代碼甚至使用它。
