Barracuda, fornitore di servizi di protezione e-mail e sicurezza di rete, ha avvertito gli utenti di una vulnerabilità zero-day che è stata sfruttata per violare gli apparecchi della sua Email Security Gateway (ESG). La vulnerabilità, tracciata come CVE-2023-2868, è una vulnerabilità di iniezione di codice remoto che interessa le versioni 5.1.3.001 fino a 9.2.0.006, ed è radicata in un componente che controlla gli allegati delle email in arrivo. Deriva da una mancata sanitizzazione completa del processo di file .tar (tape archives). Di conseguenza, un aggressore può formattare i nomi dei file in un modo particolare per eseguire remotamente un comando di sistema tramite l’operatore qx di Perl con i privilegi del prodotto Email Security Gateway.
Barracuda ha identificato il problema il 19 maggio 2023 e rilasciato una patch il giorno successivo. Una seconda patch è stata rilasciata il 21 maggio come parte della sua strategia di contenimento. Sono stati scoperti segni di sfruttamento attivo, che ha portato ad un accesso non autorizzato a un sottoinsieme di apparecchi di gateway e-mail. L’azienda, che ha oltre 200.000 clienti globali, non ha rivelato l’entità dell’attacco, ma ha contattato gli utenti interessati con un elenco di azioni correttive da intraprendere. Ha anche esortato i clienti a rivedere i loro ambienti e sta monitorando attivamente la situazione.
L’identità dei criminali informatici dietro l’attacco è attualmente sconosciuta, ma gruppi di hacker cinesi e russi sono stati osservati nell’implementazione di malware su dispositivi Cisco, Fortinet e SonicWall vulnerabili nelle ultime settimane. Inoltre, è stato segnalato uno sfruttamento di larga scala di una vulnerabilità di cross-site scripting (XSS) in un plug-in chiamato Beautiful Cookie Consent Banner (CVSS score: 7.2), che offre agli aggressori non autenticati la possibilità di iniettare codice JavaScript malevolo in un sito web. La società di sicurezza WordPress Defiant ha bloccato quasi 3 milioni di attacchi contro più di 1,5 milioni di siti dal 23 maggio 2023 e gli attacchi sono ancora in corso.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.