Bu istismar kodu, Barracuda E-posta Güvenlik Ağ Geçidi (ESG) cihazına izin verir


Rapid7, Barracuda E-posta Güvenlik Ağ Geçidi (ESG) cihazındaki kusurun ayrıntılı analizini ve istismarını yayınladı. Barracuda Email Security Gateway (ESG) cihazının 5.1.3.001–9.2.0.006 sürümlerinin uzaktan komut ekleme güvenlik açığına açık olduğu keşfedildi. CVE-2023-2868 tanımlayıcısı atanan ve CVSS puanı 9.8 olan bu kusur keşfedildi. Ekim 2022’den bu yana sistematik istismara maruz kaldı. Hata, genellikle teyp arşivleri olarak bilinen .tar dosyalarının işlenmesinin tamamen temizlenmemesi nedeniyle meydana geldi. Bu güvenlik açığı, kullanıcı tarafından sağlanan bir programın eksik giriş doğrulamasının bir sonucu olarak ortaya çıkar. [.]tar dosyası, arşivde bulunan dosyaların adlarıyla ilgili olarak.

Bunun bir sonucu olarak, uzaktaki bir saldırgan Perl’in qx operatörünü ve Email Security Gateway olarak bilinen yazılımın yeteneklerini kullanarak uzaktan sistem komutunun yürütülmesine izin verecek şekilde bu dosya adlarını oluşturabilir. Bu sorun BNSF-36456 yaması ile giderilmiştir. yakın zamanda piyasaya sürülen. Bu düzeltme eki, bir istemcinin sahip olduğu her cihaza otomatik olarak yüklendi.

Rapid7 tarafından sağlanan sonuçlara göre, araştırmacılar incelemelerini 8.0.1.001 ürün yazılımı sürümü ile donatılmış ikinci el Barracuda ESG 300 kullanarak gerçekleştirdiler. Ping ve dig komutlarını yürütmek için PoC’yi kullanarak ve bazı temel bulanıklaştırmalar yaparak gerçek cihaza karşı etkili komut yürütmeyi hızla doğruladılar. Tüm trafikte dnschef ve wireshark kullanarak bu talimatların etkili olduğunu hemen anladılar! Kabuk erişimi elde etmek için, Mandiant uyarısında da bahsedilen aşağıdaki faydalı yük kullanıldı.

Barracuda Email Security Gateway (ESG), yalnızca gelen ve giden e-postayı filtrelemekle kalmayıp aynı zamanda müşteri verilerini de koruyan bir hizmettir. Enterprise Security Group (ESG), Amazon Web Services (AWS) veya Microsoft Azure üzerindeki genel bulutun yanı sıra fiziksel veya sanal bir cihaz olarak dağıtılabilir. Barracuda, bu noktaya kadarki durumun ayrıntılı bir analizini yayınladı; bu analiz, önemli sızma kanıtları, yeni güvenlik açığı ayrıntıları ve Barracuda’nın SMTP arka plan programı için arka kapı modülüne ilişkin ayrıntılar hakkında bilgiler içeriyor. Raporlara göre, 8 Haziran itibariyle (Barracuda Networks Spam Güvenlik Duvarı smtpd), internette “Barracuda Networks Spam Güvenlik Duvarı” SMTP arka plan programını çalıştıran yaklaşık 11.000 cihaz varmış gibi görünüyordu. Bu bilgi, bilinen bir ESG cihazından elde edilmiştir.

Bu nedenle, fiziksel aygıtları olan Barracuda E-posta Güvenlik Ağ Geçidi müşterilerinin aygıt yazılımlarını derhal en yeni sürüme yükseltmeleri gerekir.



Source link