内存安全周报第139期 | 使用Barracuda ESG设备的客户遭遇0day漏洞攻击
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、使用Barracuda设备的客户持续遭遇0day漏洞攻击(5.30)
继上周曝出ESG邮件网关漏洞以来,本周已经有他们的客户遭受了攻击。近日,Barracuda发现一些客户的ESG设备受到0day漏洞(CVE-2023-2868)威胁,攻击者成功在这些设备上部署了三种恶意软件,导致客户数据外泄。
详细情况
Barracuda并未透露遭遇入侵的客户数量,但可以确认利用CVE-2023-2868进行攻击的行为最早可以追溯到2022年10月。Barracuda确定受影响的设备至少遭到三种不同的恶意负载攻击:
·SALTWATER:这是一个针对Barracuda SMTP守护程序(bsmtpd)的特洛伊木马模块,具备代理和隧道功能,作为隐秘的后门。该后门使得攻击者能够自由上传或下载任意文件并执行命令。
·SEASPY:这是一个x64 ELF持久性后门,伪装成合法的Barracuda Networks服务。它会自行建立一个PCAP过滤器,专门监视25号端口(SMTP)上的流量。
·SEASIDE:这是一个基于Lua的模块,用于Barracuda SMTP守护程序(bsmtpd),它与攻击者的命令和控制(C2)服务器建立连接。该模块有助于建立一个反向shell,为入侵系统提供未经授权的访问权限。SEASPY与公开可获取的PoC后门cd00r存在一定的代码重叠,然而目前尚未确定该恶意软件与具体的威胁行为者之间的关联。
向受影响客户提出的建议
Barracuda向受影响的ESG客户提供了以下建议:
·确保ESG设备正常接收并使用Barracuda更新包和安全补丁。
·如果条件允许,移除受到威胁的ESG设备,并与Barracuda联系以获取新的ESG虚拟机或硬件设备。
·更换连接到ESG设备相关的所有凭证。
·查看网络日志并搜索Barracuda提供的IOC和IP地址。
Barracuda还提供了YARA规则,帮助客户搜索利用CVE-2023-2868的TAR恶意文件。
参考链接
二、美国Progress Software公司的MoVeit Transfer遭遇0day漏洞攻击 (6.2)
近日,有消息显示,美国Progress Software公司的安全传输解决方案(MOVEit Transfer)中的0day漏洞被攻击者利用。
详细情况
Progress Software发布了安全通告,并确认MOVEit Transfer Web应用程序中存在SQL注入漏洞(尚未分配CVE编号)。该漏洞可能导致未经身份验证的攻击者在未经授权的情况下访问MOVEit Transfer的数据库。
攻击者可以通过使用的数据库引擎(包括MySQL、Microsoft SQL Server或Azure SQL),推断出与数据库结构和内容相关的信息,并通过执行SQL语句修改或删除数据库元素。
应对方案
由于MOVEit Transfer的所有版本都受到0day漏洞影响,该安全通告也发布了修复版本的链接、威胁指示(IoCs)——脚本、Webshell、C2 IP地址、用户账户等。此外,Progress Software公司还提供了更详细的清理建议:
·禁用MOVEit Transfer环境中的所有HTTP和HTTPS流量。
·删除未经授权的文件及用户账户,并重新设置账户的登录凭据。
·安装修复版本的补丁程序或更新包。
·启用MOVEit Transfer环境中的所有HTTP和HTTPS流量。
·检查文件是否已成功删除,并确保没有未经授权的账户存在。如果清理工作尚未完成,则重新进行清理并重置服务账户凭证。
·如果清理成功,客户应该及时监控网络、终端和日志以查找威胁指示。
一些研究人员分析了webshell/backdoor,并发布了用于检测威胁指示和搜索可疑文件的YARA签名和SIGMA规则,同时还分享了更多关于0day漏洞攻击的技术信息。
参考链接
