Barracuda Networks, E-posta Güvenlik Ağ Geçidinde aktif olarak istismar edilen sıfır gün güvenlik açığı için bir yama yayınladı
20 Mayıs’ta Barracuda Networks, Email Security Gateway (ESG) cihazında sıfır gün güvenlik açığı için bir yama yayınladı. Güvenlik açığı, başlangıçta gelen e-postaların eklerini tarayan bir modülde vardı ve 19 Mayıs’ta keşfedildi.
Barracuda’nın araştırması, güvenlik açığının e-posta ağ geçidi araçlarının bir alt kümesine yetkisiz erişimle sonuçlandığını gösterdi. Kimliği doğrulanmamış uzak bir saldırgan, araca özel hazırlanmış bir arşiv gönderebilir ve hedef sistemde rastgele Perl komutları yürütebilir. ESG’nin etkilenen sürümleri 5.1.3 – 9.2’dir.
Sonuç olarak, güvenlik açığını ortadan kaldırmak için 20 Mayıs Cumartesi günü dünya çapındaki tüm ESG cihazlarına bir güvenlik yaması uygulandı. Daha ayrıntılı araştırmaların ardından 21 Mayıs 2023’te ikinci bir yama gönderildi.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Bu güncellemelerde yamalanan CVE:
CVE-2023-2868: CVSS puanı 10 üzerinden 9,4. Barracuda Email Security Gateway’de (yalnızca cihaz form faktörü) bir uzaktan komut ekleme güvenlik açığı bulunmaktadır. Güvenlik açığı, .tar dosyasının (teyp arşivleri) işlenmesinin kapsamlı bir şekilde sterilize edilememesinden kaynaklanır. Güvenlik açığı, arşivde yer alan dosyaların adlarıyla ilgili olduğundan, kullanıcı tarafından sağlanan bir .tar dosyasının girdi doğrulamasının tamamlanmamasından kaynaklanmaktadır. Sonuç olarak, uzaktaki bir saldırgan, bu dosya adlarını, E-posta Güvenliği Ağ Geçidi ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla uzaktan bir sistem komutunun yürütülmesine yol açacak şekilde özel olarak biçimlendirebilir. Bu sorun, BNSF-36456 yamasının bir parçası olarak giderildi. Bu yama, tüm müşteri cihazlarına otomatik olarak uygulandı.
Barracuda, cihazlarının etkilendiğine inanılan kullanıcıların, almaları gereken eylemler hakkında ESG kullanıcı arayüzü aracılığıyla bilgilendirildiğini söylüyor. Bu belirli müşterilere de ulaştığını söylüyor. Güncellemeler ürün durumu sayfasında yayınlanacaktır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismara ilişkin kanıtlara dayanarak güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na ekledi. FCEB kurumlarının bu güvenlik açığı için son ödeme tarihi 16 Haziran 2023’tür. CISA ayrıca bu tür güvenlik açıklarının kötü niyetli siber aktörler için sıklıkla saldırı vektörleri olduğu ve federal kuruluş için önemli riskler oluşturduğu konusunda uyarıda bulunmuştur.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.