Fournisseur de services de protection de messagerie et de sécurité réseau Barracuda met en garde les utilisateurs contre une faille zero-day qui, selon elle, a été exploitée pour violer les appliances ESG (Email Security Gateway) de l’entreprise.
Le jour zéro est suivi comme CVE-2023-2868 et a été décrit comme une vulnérabilité d’injection de code à distance affectant les versions 5.1.3.001 à 9.2.0.006.
L’entreprise basée en Californie a dit le problème est enraciné dans un composant qui filtre les pièces jointes des e-mails entrants.
« La vulnérabilité résulte d’un échec de nettoyage complet du traitement du fichier .tar (archives sur bande) », selon un consultatif de la base de données nationale des vulnérabilités du NIST.
« La vulnérabilité provient d’une validation d’entrée incomplète d’un fichier .tar fourni par l’utilisateur en ce qui concerne les noms des fichiers contenus dans l’archive. En conséquence, un attaquant distant peut formater spécifiquement ces noms de fichiers d’une manière particulière qui entraînera dans l’exécution à distance d’une commande système via l’opérateur qx de Perl avec les privilèges du produit Email Security Gateway. »
La lacune, a noté Barracuda, a été identifiée le 19 mai 2023, incitant la société à déployer un correctif sur tous les appareils ESG dans le monde un jour plus tard. Un deuxième correctif a été publié le 21 mai dans le cadre de sa « stratégie de confinement ».
De plus, l’enquête de la société a révélé des preuves d’exploitation active de CVE-2023-2868, entraînant un accès non autorisé à un « sous-ensemble d’appliances de passerelle de messagerie ».
La société, qui compte plus de 200 000 clients dans le monde, n’a pas révélé l’ampleur de l’attaque. Il a déclaré que les utilisateurs concernés ont été directement contactés avec une liste de mesures correctives à prendre.
Barracuda a également exhorte ses clients pour revoir leurs environnements, ajoutant qu’il surveille toujours activement la situation.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
L’identité des acteurs de la menace à l’origine de l’attaque n’est actuellement pas connue, mais des groupes de piratage chinois et russes ont été observés en train de déployer des logiciels malveillants sur mesure sur des appareils Cisco, Fortinet et SonicWall vulnérables au cours des derniers mois.
Le développement intervient alors que Defiant a alerté de l’exploitation à grande échelle d’une faille de script intersite (XSS) désormais corrigée dans un plugin appelé Beautiful Cookie Consent Banner (score CVSS : 7,2) qui est installé sur plus de 40 000 sites.
La vulnérabilité offre aux attaquants non authentifiés la possibilité d’injecter du JavaScript malveillant sur un site Web, permettant potentiellement des redirections vers des sites malveillants ainsi que la création d’utilisateurs administrateurs malveillants, entraînant des prises de contrôle de sites.
La société de sécurité WordPress a dit il « a bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites, à partir de près de 14 000 adresses IP depuis le 23 mai 2023, et les attaques se poursuivent ».