Provajder usluga zaštite email-a i mrežne bezbjednosti Barracuda upozorava korisnike na Zero Day grešku za koju kaže da je iskorištena za probijanje kompanijskih uređaja Email Security Gateway (ESG).
Zero Day se prati kao CVE-2023-2868 i opisan je kao ranjivost na ubrizgavanje koda na daljinu koje utiče na verzije 5.1.3.001 do 9.2.0.006.
Firma sa sjedištem u Kaliforniji kaže da je problem ukorijenjen u komponenti koja provjerava priloge dolaznih email-ova.
„Ranjivost proizilazi iz neuspjeha da se sveobuhvatno sanira obrada .tar datoteke (arhiva trake)“ prema savjetu iz NIST-ove nacionalne baze podataka ranjivosti.
“Ranjivost proizilazi iz nepotpune validacije unosa .tar datoteke koju je dostavio korisnik jer se odnosi na nazive datoteka sadržanih u arhivi. Kao posljedica toga, udaljeni napadač može posebno formatirati ove nazive datoteka na određeni način što će rezultovati u daljinskom izvršavanju sistemske komande preko Perl-ovog qx operatora uz privilegije proizvoda Email Security Gateway.”
Nedostatak je, napomenuo je Barracuda, identifikovan 19. maja 2023. godine, što je navelo kompaniju da dan kasnije postavi zakrpu na sve ESG uređaje širom svijeta. Druga popravka objavljena je 21. maja kao dio njene “strategije suzbijanja”.
Osim toga, istraga kompanije otkrila je dokaze o aktivnoj eksploataciji CVE-2023-2868, što je rezultovalo neovlaštenim pristupom “podskupu uređaja za pristup email-u”.
Kompanija, koja ima preko 200.000 globalnih klijenata, nije otkrila razmjere napada. Rečeno je da su pogođeni korisnici direktno kontaktirani s listom korektivnih radnji koje treba poduzeti.
Barracuda je takođe pozvala svoje klijente da preispitaju svoje okruženje, dodajući da još uvijek aktivno prati situaciju.
Identitet hakera koji stoje iza napada trenutno nije poznat, ali su kineske i ruske hakerske grupe primijećene kako postavljaju prilagođeni maliciozni softver na ranjive Cisco, Fortinet i SonicWall uređaje posljednjih mjeseci.
Razvoj dolazi kada je Defiant upozoren na veliku eksploataciju sada ispravljene greške u skriptovanju na više lokacija (XSS) u dodatku pod nazivom Beautiful Cookie Consent Banner (CVSS rezultat: 7.2) koji je instaliran na preko 40.000 lokacija.
Ranjivost nudi neautorizovanim napadačima mogućnost da ubace maliciozni JavaScript na web lokaciju, potencijalno omogućavajući preusmeravanja na sajtove sa malwaretising-om, kao i stvaranje lažnih administratorskih korisnika, što dovodi do preuzimanja sajta.
Kompanija WordPress saopštila je da je “blokirala skoro 3 miliona napada na više od 1,5 miliona sajtova, sa skoro 14.000 IP adresa od 23. maja 2023. godine, a napadi su u toku”.
Izvor: The Hacker News