[English]Noch ein kurzes Thema, welche wegen Feiertag etwas liegen geblieben ist. Der Hersteller Barracuda fordert Administratoren seiner Email Security Gateway Appliance (ESG) auf, die Geräte sofort auszutauschen. Hintergrund ist eine Schwachstelle in den ESG-Modellen, die zwar Ende Mai 2023 gepatcht werden sollte. Das scheint aber nicht zu wirken und der Hersteller ruft zum Austausch auf.
Anzeige
Schwachstelle in Barracuda ESGs
Ich hatte im Blog-Beitrag Barracuda-Warnung vor Angriffen auf E-Mail-Gateways per 0-Day-Schwachstelle (19. Mai 2023) von einer Warnung des Herstellers Barracuda in seinen Email Security Gateway Appliance (ESG) berichtet. Die Schwachstelle wurde nach einem Angriff am 19. Mai 2023 entdeckt. Der Anbieter hat am 20. und 21. Mai 2023 Sicherheitsupdates zum Schließen dieser Schwachstelle auf den betreffenden Appliances freigegeben. Allerdings scheinen diese Updates nicht den erhofften Erfolg gebracht zu haben.
Barracuda ruft zum Geräteaustausch auf
Vor einigen Stunden hat Blog-Leser Martin H. mich auf Facebook bereits in einer privaten Nachricht informiert, dass bei "Barracuda" sicherheitstechnisch die Hütte brennt. Er schrieb: Hallo Herr Born, das gab's glaub ich auch noch nicht dass ein Herstellers alle Geräte austauscht welche gehackt wurden. Er verwies auf diesen Beitrag der Kollegen von Bleeping Computer vom 7. Juni 2023.
Inzwischen hat jemand in diesem Blog-Kommentar auf die Barracuda-Meldung Barracuda Email Security Gateway Appliance (ESG) Vulnerability vom 6. Juni 2023 verwiesen. Dort heißt es:
ACTION NOTICE: Impacted ESG appliances must be immediately replaced regardless of patch version level. If you have not replaced your appliance after receiving notice in your UI, contact support now (support@barracuda.com).
Barracuda's remediation recommendation at this time is full replacement of the impacted ESG.
Betroffene ESG-Appliances müssen unabhängig vom Patch-Versionsstand sofort ersetzt werden. Wenn Sie Ihre Appliance nach Erhalt der Benachrichtigung in Ihrer Benutzeroberfläche noch nicht ersetzt haben, wenden Sie sich jetzt an den Support (support@barracuda.com). Barracuda empfiehlt zum jetzigen Zeitpunkt den vollständigen Austausch der betroffenen ESG.
2015
Wenn der Patch tatsächlich erst Ende Mai 2025 käme, sollte man die Dinger tatschlich sofort ausmisten!
https://www.borncity.com/blog/2023/06/06/kurios-massenweise-invalid-recipient-versuche-am-mail-gateway/.
Ist es nur Zufall, das dort wohl auch ein Barracuda-Produkt verwendet wird. und das seltsame Verhalten seit dem 20./21.5. beobachtet wurde, also passend zum Zeroday und auch nicht aktive Domains verwendet wurden?
Oder stammt diese Korrelation nur daher, dassvaus Anlass des Patschen der ESG mehr Zeit zum Blick in die Logfiles aufgewendet wurde?
Es ist schon hart. Da gibt man extra Geld aus, baut ein zusätzliches Layer auf und holt sich damit ein Sicherheitsloch. Wer würde damit rechnen?
Aber ist ja nicht meine Schuld. Das ist klar der Fehler von Barracuda. Puh, das Geld vom Chef war dann doch gut für meine Nachtruhe ausgegeben.
Ich werde jetzt noch die Software von MalwareByte anschaffen, Danke für den Tipp. Sicher ist Sicher. Und je mehr Schichten und komplizierter das System um so besser. Auch verhindere ich, leicht ersetzt zu werden.
K.I.S.S.
Also um das ESG angreifen zu können muss ja eine Email mit einem .tar Anhang angenommen werden.
Dazu braucht man eine funktionierende eMail Adresse.
Die fahren die Angriffe voll automatisch.
Vielleicht läuft dieser Wörterbuch Angriff darum mit zum Teil absurden local parts?
Evtl. bringen diese E-Mails sogar schon den passenden Anhang, der kann sich nur nicht auswirken, weil die Email ja schon im SMTP Dialog geblockt wird?
Das würde erklären, warum die Absender-Domain nicht funktioniert. Man braucht sie nicht. Wenn der Exploit erfolgreich war, würde das ESG sich ja selbst melden.
Das ist ein ziemlicher GAU.
Leider gibt es bis jetzt keine Informationen was da wirklich schief geht.
Nicht das sich da eine neue Dimension von Problemen auf tut.
Hoffen wir mal auf eine völlig idiotische Lücke verursacht von Stümpern inc. Option Schreibzugriff ins Bios oder ähnlichem Ziel.
Wäre zwar übel aber wenigstens bekannt.
Es steht doch klar dar, das man durch einen Email Anhang des Typ tar durch gewisse Dateinamen das "Security" Gateway dazu bringen kann mittels eines Perl qx Befehle des Betriebssystems aufführen lassen kann.
Also wenn man will, "pre auth remote commands"
Dieser User hat auch noch das Recht in /sbin/ zuschreiben, was eigentlich nur root darf.
Er kann da Befehle für root überschreiben.
oder ein root kit installieren, was natürlich das patschen unbemerkbar überlebt.
Das ist das was man einen GAU nennen würde.
Offenbar wurde die Appliance nicht gehärtet.
Falls wer sich nicht mit Perl auskennen sollte wird hier vielleicht klarere was das bedeutet:
https: http://www.tutorialspoint.com/perl/perl_qx.htm
This function is a alternative to using back-quotes to execute system commands. For example, qx(ls -l) will execute the UNIX ls command using the -l command-
Aua…. und der Kunde soll alleine auf den Kosten sitzenbleiben? Die Teile sind bestimmt nicht günstig. Keine schöne Geschichte.
bei heise.de und blog.fefe.de Meinungen und Vermutungen in den Kommentaren. Es gibt wohl bisher keine Infos was die Geräte wie in Schrott verwandelt hat.
Wieder mal eine Backdoor aufgeflogen?
Also solche gigantischen SpamEmail Menge habe in letzter Zeit nur in Barracuda logs gesehen.
Das man mehr als das zehnfache an Spam bekommt ist heute unüblich.
Dieser ganze Müll wäre heute per RBL geblockt worden, man hätte nur einen halben Handshake gebraucht und er wäre draußen.
Barracuda muß aber den ganzen Müll annehmen um einerseits zu zeigen wie toll sie sind und andererseits den Kunden dicke Rechnungen schreiben zu können.
Natürlich setzt Barracuda möglichst dicke Leitungen , denn je dicker desto mehr Spam kommt umso höher die Rechnung.
Sie Bieten diesen tollen Service auch in den der Cloud an.
Manche laden die IP Adresse in ihren Router und erden da die SMTP Ports.
Andererseits: Was außer einem VPN und Http sollte von einem Dialup kommen?
Natürlich machen sie kein DKIM um fake Bounces zu erkennen. Schließlich haben sie ein einziges Verfahren zu verkaufen.
Und wie die Rückruf/Verschrottungs-Aktion der Barracuda Email SECURITY Gateway Appliance zeigt verstehen sie ihren Job nicht. Wie kann man ein System durch die Verarbeitung von Datei-Namen derart kompromittieren, so dass es mit den Rechten des ESG Betriebssystem Befehle ausführen kann, weil Perl das nicht wegkonfiguriert hat?
Ich erwarte von einem Security Gateway das es selbst nicht verletzlich ist. Hallo? Ist das zuviel oder naiv?
Für manche heutigen Admin,
ist Barracuda ja gut. Es entbindetbohn von der Verantwortung. Diesen Fehler hat er ja nicht gemacht.
und da man nur 1000 E-Mails hatte sah das Angebot auch sehr gut aus. das dass inzwischen 30000 pro Tag sind, dafür kann man ja nichts.
Ich fürchte, das man dieses E"S"G keine eigene DMZ gegeben hat, es war ja sicher, steht ja dran…
Und jetzt darf man alles als kompromittiert betrachten…
Was ein Offenbarungseid vom Hersteller Barracuda die ganze Box zu tauschen!
Als langjähriger Barracuda Partner stehen bei uns die Telefone nicht mehr still mit Rückfragen. Aber Gott sei Dank haben wir bei unseren Bestandkunden nur noch einzelne ESGs bei Grosskunden die auf On-Premise bestehen.
Unsere mittelständischen Kunden haben wir fast alle auf den Barracuda Cloud Service "Email Gateway Defense" (früher "Barracuda Essentials") migriert, der nicht von der Schwachstelle betroffen ist.
Gerade für mittelständische Kunden hat EGD nicht nur einen Preisvorteil sondern auch noch u. a. Hochverfügbarkeit für Business Continuity inkludiert, was bei ESGs nur mit 2 Boxen und Loadbalancer möglich ist.
Warum Barracuda selbst diese Alternative "Migration auf Email Gateway Defense" mit einem entsprechenden Rabatt vorschlägt, um keine Kunden zu verlieren, kann ich nicht nachvollziehen.
Wir bieten auf jeden Fall eine Migration auf Email Gateway Defense mit einem entsprechenden Rabatt von 20% – 30% je nach Anzahl physischer User mit Postfächer an.
Bei Interesse einfach melden.
Super Werbung hier im Blog :-)
Meine Kunden wollen zum Beispiel die On-Prem-Variante, weil sie ihre Mails lieber selbst lesen und nicht den Cloud-Anbieter lesen lassen.
Meiner Erfahrung nach ist die Skepsis im Mittelstand gegenüber der Cloud immer noch recht hoch.
Hat eigentlich jemand Erfahrungen der Lösung von Fortinet?
Bei der Barracuda-AntiSPAM-Firewall finde ich persönlich aus 12 Jahren Erfahrung, das die zwar relativ gut SPAM wegfiltern können, aber über die Jahre nichts dazu entwickelt worden ist, bzw. nichts gravierendes zum weiteren Schutz. Kein "URL-PreCheck" in E-Mails selbst z.B., heute schickt doch keiner mehr Viren per E-Mail.
Vorteil fand ich das Outlook-PlugIn, das der Nutzer selbst feinfiltern kann. Manuelle DNSBL-Listen führen hingegen "Kontraproduktiv" zu 90% SPAM, 10% geht durch… Prio1 für DNSBL ist "failed-by-design", hätte man nachgelagert prüfen können oder das Feature ganz streichen.
Man darf ja mit Subcription die Box alle Jahre tauschen und das war auch immer notwendig, da die Leistung der Kiste mit der Zeit immer langsamer wurde – und ne 300er für nen Mittelstand mit einer Domäne und rund 1000 E-Mails pro Tag, laut Papier total oversized.
Kurzum, ich suche auch nach ner Alternative.