Logiciels malveillants Whirlpool

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a identifié des attaques de menaces persistantes avancées (APT) ciblant une vulnérabilité zero-day jusque-là non divulguée dans les appliances Barracuda Email Security Gateway (ESG).

La vulnérabilité en question, telle que décrite dans une alerte CISA, a été exploitée pour introduire des charges utiles de logiciels malveillants de porte dérobée Seapsy et Whirlpool sur les appareils compromis. La CISA a signalé avoir réussi à obtenir quatre échantillons des menaces de logiciels malveillants déployés, notamment les portes dérobées Seapsy et Whirlpool. La compromission de l'appareil s'est traduite par des acteurs de la menace capitalisant sur la faille de sécurité dans le Barracuda ESG. Cette vulnérabilité, identifiée comme CVE-2023-2868, permet l'exécution de commandes à distance sur les appliances ESG exécutant les versions 5.1.3.001 à 9.2.0.006.

Le logiciel malveillant Whirlpool établit une connexion de porte dérobée aux systèmes piratés

Seapsy est un coupable bien connu et durable dans le domaine des délits de Barracuda. Il se déguise habilement en un véritable service Barracuda sous le nom de "BarracudaMailService", permettant aux pirates d'exécuter des commandes arbitraires sur l'appliance ESG. Sur une note contrastée, Whirlpool représente une nouvelle porte dérobée offensive exploitée par les attaquants pour établir une connexion sécurisée sous la forme d'un shell inversé Transport Layer Security (TLS) vers le serveur Command-and-Control (C2).

Notamment, Whirlpool a été identifié comme un format exécutable et connectable 32 bits (ELF). Il fonctionne en recevant deux arguments critiques - l'adresse IP C2 et le numéro de port - d'un module spécifique. Ces paramètres sont essentiels pour lancer la mise en place du shell inversé TLS (Transport Layer Security) susmentionné.

Pour aller plus loin, la méthode shell inversée TLS sert de technique utilisée dans les cyberattaques, fonctionnant pour établir un conduit de communication sécurisé et crypté entre un système compromis et un serveur sous le contrôle des attaquants. Malheureusement, le module qui fournit les arguments essentiels pour ce processus n'était pas disponible pour l'analyse par CISA.

En plus de Seapsy et Whirlpool, une poignée d'autres souches de porte dérobée exploitées dans les vulnérabilités ESG de Barracuda ont été découvertes, notamment Saltwater, Submarine et Seaside.

CVE-2023-2868 est devenu un problème important pour Barracuda

La vulnérabilité affectant l'ESG est devenue une épreuve inquiétante pour Barracuda, rencontrant rapidement une augmentation des exploits suite à la découverte de la vulnérabilité zero-day en octobre 2022. En mai de l'année en cours, la société a officiellement reconnu l'existence de la vulnérabilité et correctifs rapidement publiés pour résoudre le problème.

Cependant, quelques jours plus tard, Barracuda a publié une mise en garde à l'intention de ses clients, leur conseillant de remplacer les appareils potentiellement vulnérables, en particulier ceux fonctionnant avec les versions 5.1.3.001 à 9.2.0.006, même si les correctifs avaient été appliqués. Même des mois plus tard, les preuves de la CISA suggèrent que les exploits en cours persistent, laissant des questions sur la stratégie de Barracuda pour résoudre efficacement le problème.