В минувший уикенд Barracuda Networks обнаружила в своих шлюзах ESG (Email Security Gateway) возможность инъекции команд. Расследование показало, что уязвимость уже используют в атаках. Для зашиты клиентам в автоматическом режиме спущены патчи.
Согласно бюллетеню разработчика, виновником появления CVE-2023-2868 является модуль, отвечающий за предобработку вложений во входящей почте. Проблема возникла из-за неадекватной проверки подлинности пользовательского ввода, а точнее, неполной санации имен файлов, заархивированных как .tar.
Наличие лазейки позволило злоумышленникам получить несанкционированный доступ к шлюзам безопасности имейл некоторых пользователей. В выходные Barracuda раздала на все установки ESG две заплатки: одна закрывает дыру, другая помогает выявить атаку.
Степень опасности уязвимости оценена как критическая — в 9,4 балла по шкале CVSS. Наличие проблемы подтверждено для ESG выпусков с 5.1.3.001 по 9.2.0.006, другие продукты ИБ-компании она не затронула.
Потенциальным жертвам эксплойта разосланы уведомления об угрозе. Атакованным клиентам рекомендуется проверить рабочие среды и удостовериться, что взломщики не добрались до других устройств в сети.
По данным Barracuda, ее защитные продукты корпоративного класса используют более 200 тыс. организаций в разных странах, в том числе Samsung, Mitsubishi, Delta Airlines, Panasonic, Sharp Electronics, Kraft Heinz и Калифорнийский университет в Лос-Анджелесе.
