E-posta koruması ve ağ güvenliği hizmetleri sağlayıcısı Barakuda şirketin E-posta Güvenliği Ağ Geçidi (ESG) cihazlarını ihlal etmek için kullanıldığını söylediği sıfır günlük bir kusur hakkında kullanıcıları uyarıyor.
Sıfır gün şu şekilde izleniyor: CVE-2023-2868 ve 5.1.3.001 ile 9.2.0.006 arasındaki sürümleri etkileyen bir uzaktan kod ekleme güvenlik açığı olarak tanımlanmıştır.
Kaliforniya merkezli firma, sorunun gelen e-postaların eklerini görüntüleyen bir bileşenden kaynaklandığını söyledi.
NIST’in ulusal güvenlik açığı veri tabanından alınan bir danışma belgesine göre, “Güvenlik açığı, .tar dosyasının (teyp arşivleri) işlenmesinin kapsamlı bir şekilde sterilize edilmemesinden kaynaklanmaktadır.”
“Güvenlik açığı, arşivde yer alan dosyaların adlarıyla ilgili olduğu için, kullanıcı tarafından sağlanan bir .tar dosyasının girdi doğrulamasının eksik olmasından kaynaklanmaktadır. Sonuç olarak, uzaktaki bir saldırgan bu dosya adlarını özel olarak belirli bir şekilde biçimlendirebilir. Email Security Gateway ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla bir sistem komutunu uzaktan yürütmede.”
Barracuda, eksikliğin 19 Mayıs 2023’te tespit edildiğini ve şirketin bir gün sonra dünya çapındaki tüm ESG cihazlarına bir yama dağıtmasını istediğini belirtti. 21 Mayıs’ta “sınırlama stratejisinin” bir parçası olarak ikinci bir düzeltme yayınlandı.
Ek olarak, şirketin soruşturması, CVE-2023-2868’in aktif olarak kötüye kullanıldığına dair kanıtları ortaya çıkardı ve bu da “e-posta ağ geçidi cihazlarının bir alt kümesine” yetkisiz erişimle sonuçlandı.
Dünya çapında 200.000’den fazla müşterisi bulunan şirket, saldırının boyutunu açıklamadı. Etkilenen kullanıcılarla, yapılacak düzeltici eylemlerin bir listesiyle doğrudan iletişime geçildiğini söyledi.
Barracuda ayrıca müşterilerini ortamlarını gözden geçirmeye çağırdı ve durumu aktif olarak izlemeye devam ettiğini de sözlerine ekledi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Saldırının arkasındaki tehdit aktörlerinin kimliği şu anda bilinmiyor, ancak Çinli ve Rus bilgisayar korsanlığı gruplarının son aylarda savunmasız Cisco, Fortinet ve SonicWall cihazlarına ısmarlama kötü amaçlı yazılım yerleştirdiği gözlemlendi.
Geliştirme, Defiant’ın 40.000’den fazla sitede kurulu olan ve Güzel Çerez Onay Afişi (CVSS puanı: 7.2) adlı bir eklentideki artık düzeltilmiş bir siteler arası komut dosyası çalıştırma (XSS) kusurunun büyük ölçekli istismarı konusunda uyarılmasıyla geldi.
Güvenlik açığı, kimliği doğrulanmamış saldırganlara bir web sitesine kötü amaçlı JavaScript enjekte etme yeteneği sunarak potansiyel olarak kötü amaçlı reklam sitelerine yönlendirmelere ve ayrıca sitenin ele geçirilmesiyle sonuçlanan haydut yönetici kullanıcıların oluşturulmasına izin verir.
WordPress güvenlik şirketi, “23 Mayıs 2023’ten bu yana yaklaşık 14.000 IP adresinden 1,5 milyondan fazla siteye yönelik yaklaşık 3 milyon saldırıyı engellediğini ve saldırıların devam ettiğini” söyledi.