Система обнаружения вторжений UserGate детектирует попытку эксплуатации опасной уязвимости с высоким рейтингом CVE-2023-2868 (Barracuda Email Security Gateway)

Общие сведения

CVE-2023-2868 – уязвимость удаленного исполнения кода (Command injection) в Barracuda Email Security Gateway – возникает в момент проверки вложений в письмах. Уязвимость обнаружена в коде обработки TAR файлов –

qx{$tarexec -O -xf $tempdir/parts/$part '$f'};

В коде не проверяется значение переменной $f, которая контролируется пользователем и передается на исполнение Perl функции qx{}.

Специально сформированный TAR-файл позволяет выполнить произвольный код.

Рейтинг

В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.8.

Уязвимые версии и продукты:

• Barracuda Email Security Gateway: 5.1.3.001-9.2.0.006.

Рекомендации:

1. проверить сервер и логи сети на IOC из расследования Mendiant (https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally);
2. проверить почтовые логи на предмет писем с вложением, которые могут быть использованы для эксплуатации;
3. сменить пароли учетным записям, которые использовались на Barracuda ESG;
4. отозвать все сертификаты, которые использовались на Barracuda ESG;
5. провести Threat Hunting по инфраструктуре с учетом гипотезы проникновения через Barracuda ESG;
6. проверить актуальность подписки на модуль Security Updates;
7. добавить в блокирующее правило IDPS сигнатуры «Barracuda ESG Mail Tar RCE».

За дополнительной информацией вы можете обратиться к специалистам Центра мониторинга и реагирования UserGate на адрес электронной почты: mrc@usergate.com.