CVE-2023-2868

Barracuda Networks Email Security Gateway (ESG) Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-05-26

Официальное описание

Barracuda Email Security Gateway (ESG) appliance contains an improper input validation vulnerability of a user-supplied .tar file, leading to remote command injection.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-2868 представляет собой критическую уязвимость типа Remote Command Injection (удаленное выполнение команд), обнаруженную в модуле анализа вложений Barracuda Email Security Gateway (ESG). Проблема вызвана недостаточной валидацией имен файлов внутри архивов формата .tar.

Злоумышленник может сформировать специальный архив, где в именах файлов содержатся метасимволы оболочки (shell). При обработке такого файла модулем ASSP (Anti-Spam Software Proxy) система выполняет системную команду с привилегиями продукта, что позволяет атакующему получить несанкционированный доступ, установить бэкдоры (например, SALTWATER, SEASPY) и похитить данные. Уязвимость затрагивает версии продукта с 5.1.3.001 по 9.2.0.006.

Как исправить

В связи с тем, что злоумышленники получили глубокий уровень доступа на скомпрометированных устройствах (изменение системных файлов и сохранение персистентности), компания Barracuda Networks выпустила беспрецедентную рекомендацию: полная физическая замена устройства.

  1. Идентификация компрометации: Проверьте статус устройства через консоль управления. Barracuda автоматически разослала уведомления всем затронутым клиентам через интерфейс ESG.

  2. Замена оборудования: Если ваше устройство было признано скомпрометированным, необходимо немедленно прекратить его использование и заменить на новое (физическое или виртуальное). Свяжитесь с поддержкой Barracuda для получения нового серийного номера (RMA).

  3. Сброс учетных данных: После установки нового устройства необходимо аннулировать и сменить все пароли и секреты, которые могли проходить через ESG или храниться на нем:

  4. Пароли локальных администраторов.
  5. Учетные данные LDAP/Active Directory.
  6. Сертификаты и закрытые ключи (SSL/TLS).
  7. API-ключи.

Временные меры

Если немедленная замена невозможна, необходимо выполнить следующие действия для минимизации риска, однако помните, что они не гарантируют очистку уже зараженной системы:

  1. Изоляция устройства: Ограничьте входящий и исходящий трафик для ESG. Разрешите доступ только к доверенным почтовым серверам и официальным серверам обновлений Barracuda.

  2. Проверка индикаторов компрометации (IoC): Проверьте сетевые логи на наличие соединений с известными IP-адресами злоумышленников. Пример поиска подозрительных процессов в CLI (если доступен):

ps -ef | grep -E "openssl|stunnel|socat"
  1. Проверка целостности через API/CLI (если применимо): Убедитесь, что на устройстве установлены последние патчи безопасности (Security Patches), которые Barracuda развернула автоматически для блокировки вектора атаки:
check_updates
  1. Мониторинг подозрительных файлов: Проверьте наличие нетипичных файлов в директориях временных файлов:
ls -la /tmp/
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей