Proveedor de servicios de seguridad de red y protección de correo electrónico Barracuda advierte a los usuarios sobre una falla de día cero que, según dice, ha sido explotada para violar los dispositivos Email Security Gateway (ESG) de la compañía.
El día cero está siendo rastreado como CVE-2023-2868 y se ha descrito como una vulnerabilidad de inyección remota de código que afecta a las versiones 5.1.3.001 a 9.2.0.006.
La firma con sede en California dicho el problema tiene su raíz en un componente que filtra los archivos adjuntos de los correos electrónicos entrantes.
«La vulnerabilidad surge de una falla en la desinfección integral del procesamiento del archivo .tar (archivos de cinta)», según un consultivo de la base de datos de vulnerabilidad nacional del NIST.
«La vulnerabilidad se deriva de la validación de entrada incompleta de un archivo .tar proporcionado por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. Como consecuencia, un atacante remoto puede formatear específicamente estos nombres de archivo de una manera particular que resultará en la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway».
La deficiencia, señaló Barracuda, se identificó el 19 de mayo de 2023, lo que llevó a la empresa a implementar un parche en todos los dispositivos ESG en todo el mundo un día después. El 21 de mayo se lanzó una segunda solución como parte de su «estrategia de contención».
Además, la investigación de la compañía descubrió evidencia de explotación activa de CVE-2023-2868, lo que resultó en acceso no autorizado a un «subconjunto de dispositivos de puerta de enlace de correo electrónico».
La empresa, que tiene más de 200.000 clientes en todo el mundo, no reveló la magnitud del ataque. Dijo que los usuarios afectados han sido contactados directamente con una lista de acciones correctivas a tomar.
Barracuda también tiene instó a sus clientes para revisar sus entornos, agregando que todavía está monitoreando activamente la situación.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Actualmente se desconoce la identidad de los actores de la amenaza detrás del ataque, pero se ha observado que grupos de hackers chinos y rusos implementan malware a medida en dispositivos vulnerables de Cisco, Fortinet y SonicWall en los últimos meses.
El desarrollo se produce cuando Defiant alertó sobre la explotación a gran escala de una falla de secuencias de comandos entre sitios (XSS) ahora corregida en un complemento llamado Beautiful Cookie Consent Banner (puntaje CVSS: 7.2) que está instalado en más de 40,000 sitios.
La vulnerabilidad ofrece a los atacantes no autenticados la capacidad de inyectar JavaScript malicioso en un sitio web, lo que potencialmente permite redireccionamientos a sitios de publicidad maliciosa, así como la creación de usuarios administradores deshonestos, lo que resulta en la toma de control del sitio.
La empresa de seguridad de WordPress dicho «bloqueó casi 3 millones de ataques contra más de 1,5 millones de sitios, desde casi 14 000 direcciones IP desde el 23 de mayo de 2023, y los ataques continúan».