Ritka hibába futott bele a Barracuda Networks. A biztonsági megoldásokat gyártó cég ESG-iben (E-mail Security Gateway) találtak egy olyan nulladik napi sebezhetőséget, amire a szotveres patch nem ad megoldást. A cég ezért a múlt héten már azt javasolta ügyfeleinek, hogy ha felmerült a kompromittálódás gyanúja, azonnal vegyék ki a rendszerből a készüléket, de ha nem, akkor is cseréljék le.

A vállalatnak május 18-án jelezték, hogy ESG-in szokatlan adatforgalmat észleltek. A Barracuda még aznap felvette a kapcsolatot a Mandiant incidensreagáló céggel, hogy segítsen feltárni a problémát. Május 19-én már megtalálták a rosszindulatú forgalomért felelős nulladik napi sérülékenységet abban szoftverkomponensben, amely a rosszindulatú levélmellékletek szűréséért felel. Már másnap, május 20-án elkészült a hibajavítást CVE-2023-2868 azonosítóval, majd egy nappal később egy szkript is, ami segít elhárítani az esetleges támadásokat.

Arra is gyorsan fény derült, hogy a hekkerek sajnos már felfedezték a biztonsági rést, és valószínűsíthetően 2022 októberétől ki is használták.

Június 6-ától azonban a Barracuda hirtelen stratégiát váltott. Azt javasolta ügyfeleinek, hogy ne javítsák, hanem lehetőleg azonnal cseréljék le a készüléküket. A cserekészüléket díjmentesen biztosítják minden ügyfélnek, amelyet érint a sérülékenység. A vállalat szerint múlt hét végéig az aktív ESG-k mintegy 5 százalékát kompromittálhatták a támadók.

Egy váratlan fordulat

Innen akár el is lehetne engedni az ügyet. Jön a cserekészülék, és nincs is további teendő. Illetve van: ellenőrizni kell a logokat 2022 októberéig visszamenőleg, hogy nincsenek-e benne támadásra utaló nyomok. A Barracuda közzétett egy listát is a figyelendő IOC-okról (Indicator Of Compromise). Ha felmerül a gyanú, hogy az adott ESG-t feltörték, azonnal ki kell venni a rendszerből.

És vannak továbbra is nyitott kérdések. Mindenekelőtt: ki és hogyan használhatta ki a sérülékenységet? Ezekre egyelőre csak elméletek vannak.

A Rapid7 munkatársa, Caitlin Condon, aki nagyjából 11 ezerre teszi a sebezhető aktív ESG-eszközök számát, azt mondta Brian Krebs biztonsági szakértőnek, hogy az eddig azonosított támadások során a rendszerbe olyan mélyen beágyazódó kódokat telepíthettek, hogy azok még teljes törléssel sem távolíthatók el. A Rapid7 kutatói arra utaló jeleket nem találtak, hogy a támadók a biztonsági rés révén oldalirányba is elmozdultak volna a hálózatban. Ez azonban csekély vigasz az érintett cégeknek, melyek belső levelezését akár hónapok óta kiberkémek olvashatták, teszi hozzá Krebs.

Ami a fertőzés mechanizmusát illeti, a Berkeley Nemzetközi Számítástechnikai Intézetének (International Computer Science Institute, ICSI) kutatója, Nicholas Weaver hasonló nyomon indulna el. Szerinte valahol a firmware környékén kellene keresni annak okát, hogy csak készülékcserével lehet megoldani a problémát. Weaver a támadások mögött állami szereplőket feltételez. Mint mondta, egy ransomware-támadást végrehajtó hekkernek egyszerűen nincs szüksége ilyen mély hozzáférésre.