Barracuda Networks kampt met een enorm probleem in zijn e-mailbeveiligingsproducten. Alle getroffen ESG-toestellen moeten eraan geloven, dat geldt ook voor klanten die een eerder uitgebrachte patch al braaf installeerden.
Email Security Gateway (ESG)-toestellen van Barracuda kunnen getroffen zijn door de kwetsbaarheid CVE-2023-2868. Het gaat om een kwetsbaarheid die een command injection-aanval op afstand mogelijk maakt. De kwetsbaarheid werd op 19 mei 2023 aangetroffen in ESG-toestellen versies 5.1.3.001-9.2.0.006 van Barracuda. SaaS-diensten voor e-mailbeveiliging zijn volgens de melding veilig.
Getroffen ESG-toestellen dienen vervangen te worden. Daartoe spoort het bedrijf zijn klanten zelf aan: “Getroffen ESG-apparaten moeten onmiddellijk worden vervangen, ongeacht het niveau van de patchversie.”
Eigenaars van de getroffen ESG-apparaten worden door Barracuda op de hoogte gebracht door middel van een notificatie in de User Interface of door een lid van de technische dienst. Zij dienen contact op te nemen via het e-mailadres support@barracuda.com.
Opdrachtinjectie
Barracuda bekijkt samen met Mandiant de oorzaken van het probleem. Uit het voorlopige onderzoek is de oorzaak van de kwetsbaarheid al naar voren gekomen: “De kwetsbaarheid vloeide voort uit onvolledige invoervalidatie van .tar-bestanden die door de gebruiker werden aangeleverd, aangezien het betrekking heeft op de namen van de bestanden in het archief.” Hackers kunnen daardoor bestandsnamen zo opmaken dat het bestand uitlokt dat een bepaalde systeemopdracht wordt uitgevoerd. Hiervoor misbruikt het bestand de rechten van het ESG-product.
Kortweg maakt de kwetsbaarheid een command injection- of opdrachtinjectie-aanval mogelijk. Dit is een type cyberaanval waarin hackers een geïnfiltreerd besturingssysteem aansturen om willekeurige opdrachten uit te voeren. In de meeste gevallen is deze aanval het gevolg van onvoldoende invoervalidatie, voor Barracuda is dat niet anders.
Wat de kwetsbaarheid bij Barracuda zo kritiek maakt, is dat de hacker geen fysieke toegang nodig heeft tot de apparaten om een aanval te starten. Alles verloopt op afstand, wat uitbuiting eenvoudig maakt. De kwetsbaarheid wordt door hackers uitgebuit om twee type malware te installeren, ‘Saltwater’ en ‘SeaSpy’. Door de malware op kwetsbare apparaten te installeren, kunnen hackers gevoelige bedrijfsinformatie stelen. Zij hadden tijd genoeg om de malware te ontwikkelen, aangezien de kwetsbaarheid op het moment van ontdekking al acht maanden bestond.
Lees ook: Kwetsbaarheid in Email Security Gateway Barracuda Networks bleef maanden onontdekt
Imagoschade
Barracuda promoot zichzelf graag als een belangrijke speler in e-mailbeveiliging. ESG-toestellen dienen dat doel, want het gaat om een beveiligingsoplossing voor het filteren van inkomend en uitgaand mailverkeer dat klantengegevens veilig moet houden. Dat het zijn klanten nu opspoort om net die toestellen volledig te verwijderen, kan het imago een flinke deuk opleveren.
Een dergelijke oproep doet een e-mailbeveiligingsspecialist niet zonder een grondige analyse van de opties. Komt uit die analyse dat een volledige vervanging de beste optie is, dan zullen de wegen van patchen wel onmogelijk zijn geworden.
Het bedrijf leek eerder overigens wel overtuigd van patchen. Een patch werd uitgegeven op 20 mei, één dag na de vondst van de kwetsbaarheid, en was van toepassing op alle ESG-apparaten. Op 6 juni stelde het bedrijf deze uitspraak bij en wordt volledige vervanging van getroffen toestellen de oplossing.
Beperkte vergoeding
We hebben Barracuda gevraagd om meer uitleg te geven over de tekortkomingen van de patch en de manier waarop het bedrijf getroffen klanten zal vergoeden. Barracuda laat weten alleen via officiële persberichten te willen communiceren en stuurde ons het bericht door.
Het laatste mediabericht van Barracuda dateert van 8 juni. Daarin staat dat naar schatting vijf procent van de actieve ESG-apparaten sporen bevatten die wijzen op een infiltratie. “Ondanks de implementatie van aanvullende patches op basis van bekende IOC’s, blijven we bewijs zien van aanhoudende malware-activiteit op een subset van de gecompromitteerde apparaten. Daarom willen we dat klanten elk gecompromitteerd apparaat vervangen door een nieuw, onaangetast apparaat.”
Volgens beveiligingsonderzoekers bij Rapid7 zijn ongeveer 11.000 kwetsbare ESG-toestellen nog verbonden met het internet. In absolute aantallen wordt de omvang van het probleem pas goed duidelijk. We vroegen verder nog hoe klanten hun e-mailapplicaties veilig kunnen houden tijdens de vervanging, maar dit blijft onbeantwoord.
Een fysiek apparaat vervangen brengt heel wat hardware-kosten met zich mee. Over de kostendekking zegt het bedrijf het volgende: “Barracuda levert het vervangende product gratis aan de getroffen klant.” Over een vergoeding voor de geleden schade of compensatie voor de werkuren die nodig zijn voor de vervanging van alle hardware, blijft het stil.
Prioriteiten juist
Hoewel de oproep tot volledige vervanging drastisch is, siert de keuze het bedrijf. Dat Barracuda niet gokt op een doofpotoperatie, geeft weg dat het bedrijf zijn taak serieus neemt. Als beveiligingsspecialist moet de eerste prioriteit het beveiligen van je klanten zijn. Het probleem zo lang mogelijk geheimhouden, kan veel grotere gevolgen hebben. Wie vertrouwt er namelijk een beveiligingsspecialist die zelf al lang op de hoogte was van een lek?
Beveiligingsexperts en het bredere internet zijn niet mals voor bedrijven die verkeerde informatie geven of zaken geheimhouden. Dat bewees het incident van LastPass, dat zich afspeelde op de valreep van 2022. De manier waarop Barracuda het probleem verder afhandelt met getroffen klanten, zou de publieke opinie verder kunnen bepalen.
18 uur geleden
