Message d’intérêt public : Email Security Gateway de Barracuda est un client de messagerie d’entreprise populaire. Malheureusement, il n’a pas été à la hauteur de l’aspect sécuritaire de son nom au cours des huit derniers mois. Les pirates ont utilisé une faille dans le logiciel pour infecter les systèmes avec au moins trois types de logiciels malveillants, notamment C2, l’injection de commandes, la surveillance des ports et les capacités de porte dérobée persistante.
Entreprise de sécurité Barracuda Networks divulgué une vulnérabilité zero-day dans son client de messagerie populaire que les pirates ont exploitée pendant huit mois avant d’être découverte et corrigée. Le correctif a été déployé il y a 11 jours et Barracuda a informé les clients de la faille via son Email Security Gateway (ESG), en fournissant des mesures d’atténuation.
Le trou de sécurité (CVE-2023-2868) autorisait l’injection de commandes à distance via l’ESG en raison d’une « validation d’entrée incomplète » des fichiers .tar fournis par l’utilisateur, parfois appelés tarballs. Les archives tar sont similaires aux archives zip en ce sens qu’elles transportent une collection de fichiers compressés dans un seul conteneur.
Le problème était que dans les versions 5.1.3.001 à 9.2.0.006 du client ESG de Barracuda, les acteurs malveillants pouvaient exécuter des commandes système via l’opérateur QX si l’archive était nommée d’une manière particulière et non spécifiée. La faille impliquait la façon dont le langage de programmation Perl gère les guillemets, mais c’est aussi précis que Barracuda le ferait.
La société affirme que son enquête a révélé que des acteurs malveillants ont exploité la faiblesse entre octobre 2022 et le 20 mai 2023. Les pirates l’ont utilisée pour fournir des charges utiles de logiciels malveillants à des systèmes vulnérables, principalement des packages identifiés comme Saltwater, Seaside et Seaspy.
Saltwater est un cheval de Troie qui imite le démon SMTP de Barracuda (bsmtpd). Le malware dispose d’une fonctionnalité de porte dérobée permettant aux attaquants de télécharger ou de télécharger des fichiers, d’exécuter des commandes et d’utiliser des fonctionnalités de proxy et de tunneling.
Seaside est un module basé sur Lua également destiné au démon SMTP. Il surveille les commandes HELO/EHLO à la recherche d’adresses IP et de ports de commande et de contrôle (C2). Lorsqu’il est reçu, il envoie les données C2 en tant qu’arguments à un binaire externe pour créer un « shell de reconnexion ».
Seaspy est un fichier x64 ELF (format exécutable et pouvant être lié) qui prétend être un service légitime de Barracuda Networks. Après s’être établi en tant que filtre PCAP, il surveille le trafic du port 25 (SMTP). Seaspy peut agir comme une porte dérobée persistante, et Barracuda dit que les opérateurs peuvent l’activer secrètement via un « paquet magique ».
Barracuda n’a pas révélé le nombre de clients exploités au cours des huit mois où le trou n’a pas été découvert, mais a corrigé le bogue immédiatement avant d’en informer ses clients.
« Les utilisateurs dont nous pensons que les appareils ont été impactés ont été informés via l’interface utilisateur ESG des mesures à prendre », a déclaré la société. « Barracuda a également contacté ces clients spécifiques. D’autres clients pourraient être identifiés au cours de l’enquête. »
Si vous utilisez le client de messagerie ESG de Barracuda mais que vous n’avez pas reçu de notification de la société, mettez immédiatement à jour le logiciel. Vous pouvez également prendre les mesures d’atténuation Barracuda énumérées dans son avis public.
