Una vulnerabilidad de Zero-Day que afecta a Barracuda Email Security Gateway (ESG), rastreada con CVE-2023-7102, está siendo explotada activamente por UNC484, un actor de amenaza vinculado a China, que se destaca por sus operaciones de ciberespionaje a organizaciones gubernamentales, de TI y de alta tecnología.
UNC484
Es un actor de amenaza vinculado a China que ha utilizado una amplia gama de malware y herramientas especialmente diseñadas para desplegar sus operaciones de espionaje en todo el mundo. De acuerdo con una investigación de Mandiant, entre los malwares más usados por este grupo destacan:
Los dos últimos, con nuevas variantes para la reciente campaña de explotación de CVE-2023-7102.
SEASPY
SEASPY es una puerta trasera de persistencia ELF x64 que se hace pasar por un servicio legítimo de Barracuda Networks y se establece como un filtro PCAP, específicamente monitoreando el tráfico en el puerto 25 (SMTP) y el puerto 587.
SALTWATER
Es un módulo troyanizado para el módulo SMTP Daemon de Barracuda (bsmtpd) que contiene funcionalidad de puerta trasera. Las capacidades de SALTWATER incluyen la capacidad de cargar o descargar archivos arbitrarios, ejecutar comandos, así como capacidades de proxy y tunelización.
Línea de tiempo en la explotación de la vulnerabilidad CVE-2023-7102.
La explotación de los dispositivos ESG no es reciente, ya que existe otro CVE posterior que aprovecha una vulnerabilidad de Zero-Day para comprometer estos dispositivos, el cual es rastreado bajo CVE-2023-2868, mencionado en el siguiente boletín:
La vulnerabilidad actual rastreada con el CVE-2023-7102, corresponde a una ejecución de código arbitrario (ACE) dentro de una biblioteca de terceros, Spreadsheet ParseExcel, que permitía la inyección de parámetros.
Esta vulnerabilidad afectó a Barracuda ESG Appliance, desde la versión 5.1.3.001 hasta la 9.2.1.001, hasta que Barracuda eliminó la lógica vulnerable.
En la línea de tiempo de esta vulnerabilidad se menciona:
¿Cómo opera?
La nueva vulnerabilidad de día cero, CVE-2023-7102, se deriva del uso del módulo Perl de terceros "Spreadsheet ParseExcel".
El problema surge de la susceptibilidad de Spreadsheet ParseExcel a otra vulnerabilidad, que implica la ejecución de código arbitrario, identificada como CVE-2023-7101, debido al paso de entrada no validada de un archivo a un "eval" o valor de tipo cadena (string). Tras la recepción de un archivo de Excel malicioso, un atacante remoto puede ejecutar código arbitrario en un dispositivo Barracuda ESG vulnerable.
Si bien la vulnerabilidad de CVE-2023-7102 ha sido cubierta por Barracuda, con la ejecución de parches de forma automática en sus dispositivos, aún CVE-2023-7101, no tiene parches ni actualizaciones disponibles para la fecha de este boletín, por lo que barracuda recomienda en su informe a todas la organizaciones que usan Spreadsheet ParseExcel en sus propios productos o servicios, tomar a la brevedad posible las medidas correctivas necesarias.
Para la fecha de este boletín no existe de forma pública un POC para CVE-2023-7102, sin embargo, sí existen para CVE-2023-7101 en los siguientes enlaces:
Nota: si desea hacer uso de las pruebas de concepto expuesta anteriormente, se recomienda hacerlo en ambientes controlados y bajo su propio riesgo.
Apreciación
Ciertamente los entornos empresariales no paran de ser el blanco de ataques por actores de amenazas cada vez más enfocados a comprometer a su objetivo a través de la persistencia en los entornos vulnerados y más aún con el descubrimiento de nuevas vulnerabilidades o Zero-Day que en muchas ocasiones extienden sus posibilidades, en gran medida, por el tiempo que por lo general les toma a algunos proveedores de tecnología en disponer de las actualizaciones o parches correspondientes.
En este sentido puesto que la mayoría de las vulnerabilidades altamente explotadas y más disruptivas suelen ser de Zero-Day es imperativo que las organizaciones normalicen el uso de pruebas de penetración que pueden ayudar a identificar vulnerabilidades en los sistemas y aplicaciones antes de que sean explotadas por atacantes, además de reforzar las políticas y medidas mitigatorias que ayuden a reducir las brechas de seguridad.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Barracuda ESG Appliance |
5.1.3.001 hasta la 9.2.1.001 |
Tipo | Indicador |
---|---|
SEASPY AND SALTWATER | . |
hash | 803cb5a7de1fe0067a9eeb220df... |
hash | 952c5f45d203d8f1a7532e5b59a... |
hash | 952c5f45d203d8f1a7532e5b59a... |
hash | 118fad9e1f03b8b1abe00529c61... |
hash | 34494ecb02a1cccadda1c7693c4... |
ip | 23.224.99[.]242 |
ip | 23.224.99[.]243 |
ip | 23.224.99[.]244 |
ip | 23.224.99[.]245 |
ip | 23.224.99[.]246 |
ip | 23.225.35[.]234 |
ip | 23.225.35[.]235 |
ip | 23.225.35[.]236 |
ip | 23.225.35[.]237 |
ip | 23.225.35[.]238 |
ip | 107.148.41[.]146 |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.