19 мая 2023 года компания Barracuda Networks обнаружила уязвимость удаленного ввода команд (CVE-2023-2868) в шлюзе Barracuda Email Security Gateway (только в форм-факторе устройства) версий 5.1.3.001-9.2.0.006. Уязвимость связана с неполной входной проверкой предоставленных пользователем .tar-файлов в отношении имен файлов, содержащихся в архиве. Следовательно, удаленный злоумышленник мог форматировать имена файлов определенным образом, что приводило к удаленному выполнению системной команды через оператор Perl qx с привилегиями продукта Email Security Gateway.
В ходе проведенного компанией Barracuda расследования было установлено, что третья сторона использовала описанную выше технику для получения несанкционированного доступа к некоторому количеству устройств ESG.
Хотя расследование все еще продолжается, компания Barracuda пришла к следующим выводам:
- Уязвимость существовала в модуле, который первоначально проверяет вложения входящих сообщений электронной почты. Никакие другие продукты Barracuda, включая SaaS-сервисы защиты электронной почты, не были подвержены выявленной уязвимости.
- Самым ранним выявленным свидетельством эксплуатации CVE-2023-2868 является октябрь 2022 года.
- Barracuda установила, что CVE-2023-2868 использовалась для получения несанкционированного доступа к подмножеству устройств ESG.
- На ряде устройств было обнаружено вредоносное ПО, позволяющее получить постоянный доступ через "черный ход".
- На некоторых устройствах были обнаружены признаки утечки данных.
Indicators of Compromise
IPv4
- 103.27.108.62
- 103.93.78.142
- 104.223.20.222
- 107.148.149.156
- 107.148.219.227
- 107.148.219.53
- 107.148.219.54
- 107.148.219.55
- 137.175.19.25
- 137.175.28.251
- 137.175.30.36
- 137.175.51.147
- 137.175.53.170
- 137.175.60.253
- 139.84.227.9
- 155.94.160.72
- 192.74.226.142
- 192.74.254.229
- 23.224.42.5
- 52.23.241.105
- 64.176.4.234
- 64.176.7.59
Domains
- mx01.bestfindthetruth.com
- xxl17z.dnslog.cn
MD5
- 177add288b289d43236d2dba33e65956
- 19ebfe05040a8508467f9415c8378f32
- 1bbb32610599d70397adfdaf56109ff3
- 1fea55b7c9d13d822a64b2370d015da7
- 2ccb9759800154de817bf779a52d48f8
- 4b511567cfa8dbaa32e11baf3268f074
- 4cd0f3219e98ac2e9021b06af70ed643
- 5d6cba7909980a7b424b133fbac634ac
- 64c690f175a2d2fe38d3d7c0d0ddbb6e
- 827d507aa3bde0ef903ca5dec60cdec8
- 82eaf69de710abdc5dea7cd5cb56cf04
- 881b7846f8384c12c7481b23011d8e45
- a08a99e5224e1baf569fda816c991045
- cd2813f0260d63ad5adf0446253c2172
- e80a85250263d58cc1a1dc39d6cf3942
- f5ab04a920302931a8bd063f27b745cc
SHA256
- 1c6cad0ed66cf8fd438974e1eac0bc6dd9119f84892930cb71cb56a5e985f0a4
- 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115
- fa8996766ae347ddcbbd1818fe3a878272653601a347d76ea3d5dfc227cd0bc8