Software malicioso de Whirlpool

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha identificado ataques de amenazas persistentes avanzadas (APT) dirigidos a una vulnerabilidad de día cero no revelada previamente en los dispositivos Barracuda Email Security Gateway (ESG).

La vulnerabilidad en cuestión, como se describe en una alerta de CISA, se aprovechó para introducir cargas útiles de malware de puerta trasera Seapsy y Whirlpool en los dispositivos comprometidos. CISA ha informado que han logrado obtener cuatro muestras de las amenazas de malware implementadas, que incluyen las puertas traseras Seapsy y Whirlpool. El compromiso del dispositivo se produjo a través de actores de amenazas que aprovecharon la brecha de seguridad en Barracuda ESG. Esta vulnerabilidad, rastreada como CVE-2023-2868, permite la ejecución de comandos remotos en dispositivos ESG que funcionan con versiones 5.1.3.001 a 9.2.0.006.

El software malicioso Whirlpool establece una conexión de puerta trasera a los sistemas violados

Seapsy es un culpable bien conocido y perdurable dentro del ámbito de los delitos de Barracuda. Se disfraza hábilmente como un servicio Barracuda genuino bajo el nombre de 'BarracudaMailService', lo que permite a los actores de amenazas ejecutar comandos arbitrarios en el dispositivo ESG. En una nota contrastante, Whirlpool representa una nueva puerta trasera ofensiva aprovechada por los atacantes para establecer una conexión segura en forma de un shell inverso de seguridad de la capa de transporte (TLS) de regreso al servidor de comando y control (C2).

En particular, Whirlpool se identificó como un formato ejecutable y enlazable (ELF) de 32 bits. Funciona al recibir dos argumentos críticos, la dirección IP de C2 y el número de puerto, de un módulo específico. Estos parámetros son esenciales para iniciar el establecimiento del shell inverso Transport Layer Security (TLS) antes mencionado.

Para profundizar más, el método de shell inverso de TLS sirve como una técnica empleada en ataques cibernéticos, que funciona para establecer un conducto de comunicación seguro y encriptado entre un sistema comprometido y un servidor bajo el control de los atacantes. Desafortunadamente, el módulo que proporciona los argumentos esenciales para este proceso no estaba disponible para el análisis de CISA.

Además de Seapsy y Whirlpool, se descubrieron un puñado de otras cepas de puerta trasera explotadas en las vulnerabilidades de Barracuda ESG, incluidas Saltwater, Submarine y Seaside.

CVE-2023-2868 se ha convertido en un problema importante para Barracuda

La vulnerabilidad que afecta a ESG se ha convertido en un calvario preocupante para Barracuda, que se encontró rápidamente con un aumento en los exploits tras el descubrimiento de la vulnerabilidad de día cero en octubre de 2022. En mayo del año en curso, la empresa reconoció oficialmente la existencia de la vulnerabilidad y parches lanzados rápidamente para abordar el problema.

Sin embargo, apenas unos días después, Barracuda emitió una declaración de advertencia a sus clientes, aconsejándoles que reemplazaran los dispositivos potencialmente vulnerables, específicamente aquellos que operan en las versiones 5.1.3.001 a 9.2.0.006, incluso si se aplicaron los parches. Incluso meses después, la evidencia de CISA sugiere que persisten las vulnerabilidades en curso, lo que deja dudas sobre la estrategia de Barracuda para resolver el problema de manera efectiva.