駭客去年10月就利用Barracuda電子郵件安全閘道漏洞來植入木馬

2023-10-03

提供安全、網路與儲存設備及服務的Barracuda繼於日前修補其電子郵件安全閘道器（Email Security Gateway，ESG）設備的零時差漏洞CVE-2023-2868之後，公布了該漏洞遭到攻擊的細節，指出駭客自去年10月便開始利用該漏洞於受駭系統上部署了各式惡意程式，包括Saltwater、Seaspy、與Seaside，Barracuda也列出了端點設備的網路入侵指標（IOC）供用戶參考。

CVE-2023-2868漏洞存在於收到郵件時，用來過濾附加檔案的模組，成功利用該漏洞的駭客可自遠端於受駭系統上執行系統命令，且Barracuda的調查發現，已有一個第三方在去年10月便針對該漏洞展開攻擊，未經用戶授權存取ESG設備的子集，並部署惡意程式。

目前已知駭客所部署的惡意程式包括Saltwater、Seaspy、與Seaside，其中，Saltwater是個具備後門功能的Barracuda SMTP守護進程木馬化模組，它能上傳或下載任何檔案，執行命令，亦擁有代理與隧道能力。

Seaspy則是一個偽裝成合法Barracuda Networks服務的木馬程式，為一PCAC過濾器，可用來監控SMTP流量，且是個可長期進駐的後門。Seaside為一由Lua語言撰寫的模組，專為Barracuda SMTP守護進程所設計，可監控SMTP HELO/EHLO命令以接收C&C的IP位址。

Barracuda已主動通知遭到攻擊的用戶，建議用戶確保其ESG設備已部署最新的安全更新，並停止使用已受到危害的ESG設備，聯繫Barracuda以取得新的ESG虛擬或硬體設備，也應更新任何可連結至ESG設備的憑證。

儘管駭客在去年10月便展開攻擊行動，但Barracuda是在今年的5月18日才收到來自ESG設備的異常流量警報，當天立即請求資安業者Mandiant協助調查，並在19日確認CVE-2023-2868漏洞，於20/21日進行修補。目前Barracuda已在規畫一系列的修補策略以強化其所有設備的安全性。

（相關資訊來自iThome）