Il team di ricerca di Vectra AI ha pubblicato una nuova ricerca su una lacuna che ha identificato nel rilevamento degli exploit che sfruttano una vulnerabilità Barracuda Email Security Gateway.
Ecco alcuni dettagli:
- Cronologia degli eventi
- Il 23 maggio 2023, Barracuda ha annunciato una vulnerabilità (CVE-2023-2868) nella sua appliance Email Security Gateway, che è stata ampiamente sfruttata già nell’ottobre del 2022.
- Successivamente, il team Emerging Threats di Proofpoint ha rilasciato una regola di rilevamento Suricata (SID 2046280) per rilevare i tentativi di sfruttamento della vulnerabilità segnalata.
- Durante una riunione con un cliente di Vectra AI, è stato sollevato il dubbio che la regola esistente non funzionasse come previsto.
- Dopo aver condotto dei test iniziali, infatti, il team di Vectra ha scoperto che la regola falliva nell’allertare a riguardo di uno specifico exploit proof-of-concept, nonostante il paylod dell’exploit venisse correttamente consegnato.
- Il team di Vectra AI ha quindi analizzato la regola e il relativo exploit e ha identificato lo specifico gap di rilevamento, causato da un ordine non-deterministico del contenuto del payload dell’exploit (analisi approfondita nel link in fondo all’articolo). Vectra AI ha poi riscritto la regola chiudendo il gap di rilevamento.
- Il team Vectra AI ha presentato i risultati al team Emerging Threats di Proofpoint che, in risposta, ha rilasciato una nuova regola di rilevamento M2.
- Qual è la lezione appresa? La regola ET di Proofpoint è errata perché parte dal presupposto che tutti seguano le regole, anche quelli che non lo fanno. Adottare una strategia che vada oltre il semplice fare affidamento sulle tecnologie basate sulle regole non solo si allinea all’approccio multilivello della Defense-in-Depth, ma invita anche ad abbracciare le strategie attuali più efficaci, tra cui il modello Zero Trust.
- Quali sono le raccomandazioni attuabili? Per le implementazioni di Suricata che utilizzano il file emerging-all.rules, i team di sicurezza possono verificare che il set di regole attualmente applicato contenga la regola di rilevamento aggiornata, cercando nei file del set di regole locali “2048146”.
