Przyszła kryska na matyska, czyli zero-day w Barracuda Email Security Gateway

Błąd dnia zerowego, śledzony jako CVE-2023-2868, został rozwiązany za pomocą poprawki (BNSF-36456), automatycznie zastosowanej do wszystkich urządzeń, których dotyczy problem.

Wpis w bazie danych luk NIST opisuje lukę CVE-2023-2868 jako umożliwiającą zdalne wstrzyknięcie polecenia. Dotyczy wersji od 5.1.3.001 do 9.2.0.006 urządzenia Barracuda ESG.

„Luka w zabezpieczeniach wynika z braku «kompleksowego oczyszczenia przetwarzania» pliku .tar (archiwów taśmowych). Konkretnie wynika z niepełnej weryfikacji danych wejściowych dostarczonego przez użytkownika pliku .tar w odniesieniu do nazw plików zawartych w archiwum. W rezultacie osoba atakująca zdalnie może specjalnie sformatować nazwy plików w określony sposób, co spowoduje zdalne wykonanie polecenia systemowego za pośrednictwem operatora qx Perla z uprawnieniami produktu Email Security Gateway” – wyjaśnia producent.

Barracuda podaje, że zero-day został odkryty 19 maja, a następnego dnia wprowadzono łatkę do wszystkich urządzeń ESG. Druga poprawka została wydana 21 maja w ramach tego, co firma określiła jako „strategię powstrzymywania”.

„Luka w zabezpieczeniach istniała w module, który początkowo sprawdza załączniki przychodzących wiadomości e-mail. Żadne inne produkty Barracuda, w tym nasze usługi bezpieczeństwa poczty e-mail SaaS, nie były narażone na tę lukę” – zauważyła firma.

Śledztwo prowadzone przez producenta wykazało, że „luka w zabezpieczeniach spowodowała nieautoryzowany dostęp do podzbioru urządzeń bramek pocztowych”.

Narażeni klienci zostali powiadomieni za pośrednictwem interfejsu użytkownika ESG i otrzymali instrukcje dotyczące działań, które muszą podjąć.

Barracuda obiecała aktualizować informacje na swojej stronie w miarę postępu dochodzenia. Ponadto kontaktuje się bezpośrednio z klientami, których dotyczy podatność.

„Badanie firmy Barracuda ograniczało się do produktu ESG, a nie do konkretnego środowiska klienta. Dlatego klienci, których to dotyczy, powinni przejrzeć swoje środowiska i określić wszelkie dodatkowe działania, które chcą podjąć” – zaleca firma. Musimy oddać Barracudzie sprawiedliwość. Tylko kilka luk w zabezpieczeniach ich produktów zostało ujawnionych publicznie w ostatnich latach i wydaje się, że nie ma żadnych wcześniejszych doniesień o złośliwym wykorzystaniu. Na Kapitanie jest to pierwszy artykuł poświęcony temu producentowi. Często piszemy natomiast o konkurencji. Cyberprzestępcy atakowali urządzenia wyprodukowane przez firmy takie jak F5, Cisco, Fortinet, SonicWall czy Sophos.