Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

UNC4841 znów atakuje urządzenia Barracuda Email Security Gateway – załącznik w postaci Excela powoduje wykonanie kodu

30 grudnia 2023, 09:04 | W biegu | komentarzy 5

Barracuda Email Security Gateway (ESG) to rozwiązanie enterprise do filtrowania poczty przychodzącej. Upraszczając, to połączenie firewalla i antywirusa, które ma chronić klientów przed otrzymywaniem niechcianej poczty (spamu, phishingu) oraz zapewnić ciągłość działania poczty czy poufność przesyłanych informacji. 

Już w drugim kwartale 2023 roku, Mandiant donosił o wykryciu, we współpracy z Barracudą i rządowymi partnerami, zaawansowanych ataków na ESG, o czym pisaliśmy na Sekuraku. Wykorzystano tam command injection w nazwie przesyłanego załącznika. Luka otrzymała identyfikator CVE-2023-2868 i została szybko spatchowana. W odpowiedzi na to, atakujący dołożyli blokadę uniemożliwiającą wgranie łatki – naprawienie błędu wymagało wymiany urządzenia. Ataki zostały przypisane grupie określonej jako UNC4841, która jest powiązana z rządem Chińskiej Republiki Ludowej.  

Jak czytamy w notce Barracudy z 24.12.2023 r., odkryto nowe kampanie, które również zostały przypisane Chińczykom. Śledząc działania UNC4841 zauważono nowe warianty malware określanych mianem SEASPY i SALTWATER, które zostały uruchomione, tak samo jak poprzednio, na urządzeniach ESG. 

Tym razem mowa o podatności w parserze plików XLS oraz XLSX. Moduł Perla, który jest wykorzystywany przez skaner antywirusowy Amvis wchodzący w skład rozwiązania ESG, umożliwia wykonanie dowolnego kodu (ACE – arbitrary code execution). Parsowanie skoroszytów Excela pozwala na przekazanie do funkcji string-eval (zwanej też evil eval) danych pochodzących od użytkownika (w tym przypadku załącznika do wiadomości przychodzących). Wystarczy więc wysłać spreparowany załącznik na maila w organizacji, która wykorzystuje Barracuda ESG i mamy ACE! Na GitHubie dostępny jest stary PoC prezentujący problem. 

Podatność w parserze została sklasyfikowana jako CVE-2023-7101, natomiast Barracuda poprosiła o wydanie identyfikatora CVE-2023-7102 dla swojego rozwiązania ESG, aby ułatwić komunikację z klientami. 

21.12.2023 r. urządzenia ESG zostały automatycznie załatane i nie jest wymagana żadna dodatkowa aktywność użytkowników. W wydanej rekomendacji czytamy, że należy przyjrzeć się własnym rozwiązaniom i jeśli korzystają one z Spreadsheet::ParseExcel w wersji poniżej 0.66, to należy ją zaktualizować.

~fc 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. k

    Powinno być „Amavis”.

    Odpowiedz
  2. Ciastek

    Zarówno przy poprzedniej, jak i przy obecnej luce, w przypadku gdy używany jest Virtual Appliance, Barracuda sugeruje postawienie świeżej maszyny. Trochę to upierdliwe, w dodatku dostępny obraz jest w starszej wersji i musi zostać od razu zaktualizowany…

    Odpowiedz
  3. Chaker

    Sprzetowe VPNy i firewalle, ktore zamiast chronic maja RCE i/lub ACE i mityczna przewaga iPhone nad Androidem pod względem bezpieczeństwa to jest to co mnoe smieszy najbardziej 🤣

    Odpowiedz
    • Jonasz

      Otóż to, dlatego ja zawsze polecam CommonSense 2024 i metody security thru obscurity. Do tej pory działa bez zarzutu.

      Odpowiedz
  4. Carl Johnson

    Ahh sh*t, here we go again

    Odpowiedz

Odpowiedz