E-posta koruması ve ağ güvenliği hizmetleri sağlayıcısı Barakuda şirketin E-posta Güvenliği Ağ Geçidi (ESG) cihazlarını ihlal etmek için kullanıldığını söylediği sıfır günlük bir kusur hakkında kullanıcıları uyarıyor.
Sıfır gün şu şekilde izleniyor: CVE-2023-2868 ve 5.1.3.001 ile 9.2.0.006 arasındaki sürümleri etkileyen bir uzaktan kod ekleme güvenlik açığı olarak tanımlanmıştır.
Kaliforniya merkezli şirket söz konusu Sorun, gelen e-postaların eklerini görüntüleyen bir bileşenden kaynaklanmaktadır.
Bir kişiye göre “Güvenlik açığı, .tar dosyasının (teyp arşivleri) işlenmesinin kapsamlı bir şekilde sterilize edilememesinden kaynaklanmaktadır.” danışma NIST’in ulusal güvenlik açığı veri tabanından.
“Güvenlik açığı, arşivde yer alan dosyaların adlarıyla ilgili olduğundan, kullanıcı tarafından sağlanan bir .tar dosyasının girdi doğrulamasının eksik olmasından kaynaklanmaktadır. Sonuç olarak, uzaktaki bir saldırgan bu dosya adlarını belirli bir şekilde özel olarak biçimlendirebilir. Email Security Gateway ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla bir sistem komutunu uzaktan yürütmede.”
Barracuda, eksikliğin 19 Mayıs 2023’te tespit edildiğini ve şirketin bir gün sonra dünya çapındaki tüm ESG cihazlarına bir yama dağıtmasını istediğini belirtti. 21 Mayıs’ta “sınırlama stratejisinin” bir parçası olarak ikinci bir düzeltme yayınlandı.
Ek olarak, şirketin soruşturması, CVE-2023-2868’in aktif olarak kötüye kullanıldığına dair kanıtları ortaya çıkardı ve bu da “e-posta ağ geçidi cihazlarının bir alt kümesine” yetkisiz erişimle sonuçlandı.
Dünya çapında 200.000’den fazla müşterisi bulunan şirket, saldırının boyutunu açıklamadı. Etkilenen kullanıcılarla, yapılacak düzeltici eylemlerin bir listesiyle doğrudan iletişime geçildiğini söyledi.
Barracuda da var müşterilerini zorladı ortamlarını gözden geçirmek için durumu aktif olarak izlediğini de sözlerine ekledi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Saldırının arkasındaki tehdit aktörlerinin kimliği şu anda bilinmiyor, ancak Çinli ve Rus bilgisayar korsanlığı gruplarının son aylarda savunmasız Cisco, Fortinet ve SonicWall cihazlarına ısmarlama kötü amaçlı yazılım yerleştirdiği gözlemlendi.
Geliştirme, Defiant’ın, 40.000’den fazla sitede yüklü olan ve Güzel Çerez Onay Afişi (CVSS puanı: 7.2) adlı bir eklentideki artık düzeltilmiş bir siteler arası komut dosyası çalıştırma (XSS) kusurunun büyük ölçekli istismarı konusunda uyarılmasıyla geldi.
Güvenlik açığı, kimliği doğrulanmamış saldırganlara bir web sitesine kötü amaçlı JavaScript enjekte etme yeteneği sunarak potansiyel olarak kötü amaçlı reklam sitelerine yönlendirmelere ve ayrıca sitenin ele geçirilmesiyle sonuçlanan haydut yönetici kullanıcıların oluşturulmasına izin verir.
WordPress güvenlik şirketi söz konusu “23 Mayıs 2023’ten bu yana yaklaşık 14.000 IP adresinden 1,5 milyondan fazla siteye yönelik yaklaşık 3 milyon saldırıyı engelledi ve saldırılar devam ediyor.”
