Barracuda Email Security Gateway (ESG) Cihazı, UNC4841 olarak takip edilen China Nexus tehdit aktörü tarafından kullanılan Rastgele Kod Yürütme güvenlik açığına sahip olduğu keşfedildi.
Ayrıca güvenlik açığı yalnızca sınırlı sayıda ESG cihazını hedef alıyordu.
Ancak Barracuda, bu güvenlik açığını gidermek için tüm aktif ESG’lere bir güvenlik güncellemesi dağıttı ve kullanıcının herhangi bir işlem yapmasına gerek kalmadan tüm cihazlara otomatik olarak uygulandı.
Yeni güvenlik açığı CVE-2023-7102’ye atandı ve ciddiyeti henüz sınıflandırılmadı.
Çinli Hackerlar Yeni Sıfır Gün’ü İstismar Ediyor
Bu güvenlik açığı, Barracuda ESG cihazlarında “Spreadsheet::ParseExcel” adlı üçüncü taraf kitaplığının kullanılması nedeniyle ortaya çıkmaktadır.
Bu açık kaynaklı üçüncü taraf kitaplığı, etkilenen cihaza özel hazırlanmış bir Excel e-posta eki gönderilerek kötüye kullanılabilecek rastgele kod yürütmeye karşı savunmasızdır.
Çinli Nexus tehdit aktörleri, SEASPY ve SALTWATER kötü amaçlı yazılımlarının yeni çeşitlerini etkilenen cihazlara dağıtmak için bu güvenlik açığını kullanıyor.
Ancak Barracuda bu güvenlik açıklarını buna göre düzeltti. Ayrıca Barracuda, “Barracuda, Barracuda’nın yamalı Spreadsheet::ParseExcel kullanımı hakkında CVE-2023-7102 başvurusunda bulundu” dedi.
Başka bir güvenlik açığı olan CVE-2023-7101, aynı e-tabloyu etkiledi: ParseExcel ve herhangi bir yama veya güncelleme mevcut değildi.
Bununla birlikte, bu güvenlik açıklarının her ikisi de daha önce keşfedilen ve aynı tehdit grubu tarafından Mayıs ve Haziran 2023’te kullanılan CVE-2023-2868 güvenlik açığıyla ilişkilendirildi.
Ayrıca, bu güvenlik açıkları hakkında, ek bilgilerle birlikte, bu güvenlik açığı ve daha önce keşfedilen güvenlik açıkları hakkında ayrıntılı bilgi sağlayan tam bir rapor yayımlandı.
Uzlaşma Göstergeleri
| Kötü amaçlı yazılım | MD5 Karma | SHA256 | Dosya Adları | Dosya tipi |
| CVE-2023-7102 XLS Belgesi | 2b172fe3329260611a9022e71acdebca | 803cb5a7de1fe0067a9eeb220dfc24ca56f3f571a986180e146b6cf387855bdd | ads2.xls | xls |
| CVE-2023-7102 XLS Belgesi | e7842edc7868c8c5cf0480dd98bcfe76 | 952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd | don.xls | xls |
| CVE-2023-7102 XLS Belgesi | e7842edc7868c8c5cf0480dd98bcfe76 | 952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd | kişiselbütçe.xls | xls |
| DENİZCİLİK | 7b83e4bd880bb9d7904e8f553c2736e3 | 118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7 | Wi-Fi hizmeti | x-yürütülebilir |
| TUZLU SU | d493aab1319f10c633f6d223da232a27 | 34494ecb02a1cccadda1c7693c45666e1 fe3928cc83576f8f07380801b07d8ba | mod_tll.so | x-paylaşılanlib |
Ağ IOC’leri
| IP adresi | ASN | Konum |
| 23.224.99.242 | 40065 | BİZ |
| 23.224.99.243 | 40065 | BİZ |
| 23.224.99.244 | 40065 | BİZ |
| 23.224.99.245 | 40065 | BİZ |
| 23.224.99.246 | 40065 | BİZ |
| 23.225.35.234 | 40065 | BİZ |
| 23.225.35.235 | 40065 | BİZ |
| 23.225.35.236 | 40065 | BİZ |
| 23.225.35.237 | 40065 | BİZ |
| 23.225.35.238 | 40065 | BİZ |
| 107.148.41.146 | 398823 | BİZ |