Barracuda indique que la compromission récemment découverte des appliances ESG de certains de ses clients via une vulnérabilité zero day a entraîné le déploiement de trois types de logiciels malveillants et l’exfiltration de données.
Zeor-day exploité, les appliances Barracuda ESG neutralisées.
Le 23 mai, Barracuda Networks a publiquement reconnu que des attaquants ont exploité CVE-2023-2868 pour pénétrer dans les appliances physiques sur site d’Email Security Gateway dans diverses organisations.
Aujourd’hui, ils ont confirmé que le premier correctif, qui remédie à la vulnérabilité de l’injection de commande à distance, a été appliqué à tous les appareils ESG dans le monde entier le 20 mai, et a été suivi d’un script qui a été « déployé sur tous les appareils impactés pour contenir l’incident et contrer les méthodes d’accès non autorisées ».
SALTWATER, un module trojanisé pour le démon SMTP Barracuda, qui sert de porte dérobée avec des capacités de proxy et de tunneling et permet aux attaquants de télécharger des fichiers arbitraires et d’exécuter des commandes.
SEASPY, une porte dérobée de persistance ELF x64 qui se fait passer pour un service légitime de Barracuda Networks et s’établit comme un filtre PCAP, surveillant spécifiquement le trafic sur le port 25 SEASIDE, un module basé sur Lua pour le démon SMTP de Barracuda qui établit une connexion avec le serveur C2 des attaquants et permet d’établir un shell inversé.