Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
UNC4841 znów atakuje urządzenia Barracuda Email Security Gateway – załącznik w postaci Excela powoduje wykonanie kodu
Barracuda Email Security Gateway (ESG) to rozwiązanie enterprise do filtrowania poczty przychodzącej. Upraszczając, to połączenie firewalla i antywirusa, które ma chronić klientów przed otrzymywaniem niechcianej poczty (spamu, phishingu) oraz zapewnić ciągłość działania poczty czy poufność przesyłanych informacji.
Już w drugim kwartale 2023 roku, Mandiant donosił o wykryciu, we współpracy z Barracudą i rządowymi partnerami, zaawansowanych ataków na ESG, o czym pisaliśmy na Sekuraku. Wykorzystano tam command injection w nazwie przesyłanego załącznika. Luka otrzymała identyfikator CVE-2023-2868 i została szybko spatchowana. W odpowiedzi na to, atakujący dołożyli blokadę uniemożliwiającą wgranie łatki – naprawienie błędu wymagało wymiany urządzenia. Ataki zostały przypisane grupie określonej jako UNC4841, która jest powiązana z rządem Chińskiej Republiki Ludowej.
Jak czytamy w notce Barracudy z 24.12.2023 r., odkryto nowe kampanie, które również zostały przypisane Chińczykom. Śledząc działania UNC4841 zauważono nowe warianty malware określanych mianem SEASPY i SALTWATER, które zostały uruchomione, tak samo jak poprzednio, na urządzeniach ESG.
Tym razem mowa o podatności w parserze plików XLS oraz XLSX. Moduł Perla, który jest wykorzystywany przez skaner antywirusowy Amvis wchodzący w skład rozwiązania ESG, umożliwia wykonanie dowolnego kodu (ACE – arbitrary code execution). Parsowanie skoroszytów Excela pozwala na przekazanie do funkcji string-eval (zwanej też evil eval) danych pochodzących od użytkownika (w tym przypadku załącznika do wiadomości przychodzących). Wystarczy więc wysłać spreparowany załącznik na maila w organizacji, która wykorzystuje Barracuda ESG i mamy ACE! Na GitHubie dostępny jest stary PoC prezentujący problem.
Podatność w parserze została sklasyfikowana jako CVE-2023-7101, natomiast Barracuda poprosiła o wydanie identyfikatora CVE-2023-7102 dla swojego rozwiązania ESG, aby ułatwić komunikację z klientami.
21.12.2023 r. urządzenia ESG zostały automatycznie załatane i nie jest wymagana żadna dodatkowa aktywność użytkowników. W wydanej rekomendacji czytamy, że należy przyjrzeć się własnym rozwiązaniom i jeśli korzystają one z Spreadsheet::ParseExcel w wersji poniżej 0.66, to należy ją zaktualizować.
~fc
Powinno być „Amavis”.
Zarówno przy poprzedniej, jak i przy obecnej luce, w przypadku gdy używany jest Virtual Appliance, Barracuda sugeruje postawienie świeżej maszyny. Trochę to upierdliwe, w dodatku dostępny obraz jest w starszej wersji i musi zostać od razu zaktualizowany…
Sprzetowe VPNy i firewalle, ktore zamiast chronic maja RCE i/lub ACE i mityczna przewaga iPhone nad Androidem pod względem bezpieczeństwa to jest to co mnoe smieszy najbardziej 🤣
Otóż to, dlatego ja zawsze polecam CommonSense 2024 i metody security thru obscurity. Do tej pory działa bez zarzutu.
Ahh sh*t, here we go again