UNC4841 znów atakuje urządzenia Barracuda Email Security Gateway – załącznik w postaci Excela powoduje wykonanie kodu

Barracuda Email Security Gateway (ESG) to rozwiązanie enterprise do filtrowania poczty przychodzącej. Upraszczając, to połączenie firewalla i antywirusa, które ma chronić klientów przed otrzymywaniem niechcianej poczty (spamu, phishingu) oraz zapewnić ciągłość działania poczty czy poufność przesyłanych informacji. 

Już w drugim kwartale 2023 roku, Mandiant donosił o wykryciu, we współpracy z Barracudą i rządowymi partnerami, zaawansowanych ataków na ESG, o czym pisaliśmy na Sekuraku. Wykorzystano tam command injection w nazwie przesyłanego załącznika. Luka otrzymała identyfikator CVE-2023-2868 i została szybko spatchowana. W odpowiedzi na to, atakujący dołożyli blokadę uniemożliwiającą wgranie łatki – naprawienie błędu wymagało wymiany urządzenia. Ataki zostały przypisane grupie określonej jako UNC4841, która jest powiązana z rządem Chińskiej Republiki Ludowej.  

Jak czytamy w notce Barracudy z 24.12.2023 r., odkryto nowe kampanie, które również zostały przypisane Chińczykom. Śledząc działania UNC4841 zauważono nowe warianty malware określanych mianem SEASPY i SALTWATER, które zostały uruchomione, tak samo jak poprzednio, na urządzeniach ESG. 

Tym razem mowa o podatności w parserze plików XLS oraz XLSX. Moduł Perla, który jest wykorzystywany przez skaner antywirusowy Amvis wchodzący w skład rozwiązania ESG, umożliwia wykonanie dowolnego kodu (ACE – arbitrary code execution). Parsowanie skoroszytów Excela pozwala na przekazanie do funkcji string-eval (zwanej też evil eval) danych pochodzących od użytkownika (w tym przypadku załącznika do wiadomości przychodzących). Wystarczy więc wysłać spreparowany załącznik na maila w organizacji, która wykorzystuje Barracuda ESG i mamy ACE! Na GitHubie dostępny jest stary PoC prezentujący problem. 

Podatność w parserze została sklasyfikowana jako CVE-2023-7101, natomiast Barracuda poprosiła o wydanie identyfikatora CVE-2023-7102 dla swojego rozwiązania ESG, aby ułatwić komunikację z klientami. 

21.12.2023 r. urządzenia ESG zostały automatycznie załatane i nie jest wymagana żadna dodatkowa aktywność użytkowników. W wydanej rekomendacji czytamy, że należy przyjrzeć się własnym rozwiązaniom i jeśli korzystają one z Spreadsheet::ParseExcel w wersji poniżej 0.66, to należy ją zaktualizować.

~fc