Barracuda, proveedor de servicios de protección de correo electrónico y seguridad de red, ha advertido a los usuarios sobre una falla de cero días que ha sido explotada para violar los aparatos de Email Security Gateway (ESG) de la compañía. La vulnerabilidad, rastreada como CVE-2023-2868, es una vulnerabilidad de inyección de código remoto que afecta a las versiones 5.1.3.001 a 9.2.0.006, y se origina en un componente que examina los archivos adjuntos de los correos electrónicos entrantes. Se debe a una falla para limpiar completamente el procesamiento de los archivos .tar (archivos de cinta). Como resultado, un atacante puede dar formato a los nombres de archivo de una manera particular para ejecutar un comando de sistema de forma remota a través del operador qx de Perl con los privilegios del producto Email Security Gateway.
Barracuda identificó el problema el 19 de mayo de 2023 y lanzó un parche al día siguiente. Un segundo parche fue lanzado el 21 de mayo como parte de su estrategia de contención. Se descubrió evidencia de explotación activa, resultando en acceso no autorizado a un subconjunto de aparatos de pasarela de correo electrónico. La compañía, que cuenta con más de 200.000 clientes globales, no ha divulgado la escala del ataque, pero ha contactado a los usuarios afectados con una lista de acciones correctivas que tomar. También ha instado a los clientes a revisar sus entornos y está monitoreando activamente la situación.
La identidad de los actores de amenazas detrás del ataque aún es desconocida, pero se han observado grupos de hacking chinos y rusos desplegando malware a medida en dispositivos vulnerables de Cisco, Fortinet y SonicWall en los últimos meses. Además, se ha informado de una explotación a gran escala de una falla de inyección de código entre sitios (XSS) en un complemento llamado Beautiful Cookie Consent Banner (CVSS score: 7.2), que ofrece a los atacantes no autenticados la capacidad de inyectar código JavaScript malicioso a un sitio web. La empresa de seguridad WordPress Defiant ha bloqueado casi 3 millones de ataques contra más de 1,5 millones de sitios desde el 23 de mayo de 2023 y los ataques continúan.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.