FBI-Warnung: Barracuda ESG-Appliances noch immer bedroht CVE-2023-2868)

Barracuda-Kunden sollten alle ESG-Appliances sofort entfernen. Die von Barracuda als Reaktion auf dieses CVE veröffentlichten Patches waren unwirksam. Das FBI beobachtet weiterhin aktive Einbrüche und betrachtet alle betroffenen Barracuda ESG-Appliances als kompromittiert und anfällig für diesen Exploit.

---

CVE-2023-2868 ist eine Sicherheitslücke bezüglich der Injektion von Remote-Befehlen, die die unautorisierte Ausführung von Systembefehlen mit Administratorrechten auf dem ESG-Produkt ermöglichen. Diese Sicherheitsanfälligkeit besteht in den Barracuda ESG (nur Appliance-Formfaktor) Versionen 5.1.3.001-9.2.0.006 auf und bezieht sich auf einen Prozess, der auftritt, wenn die Appliance E-Mail-Anhänge überprüft.
Die Schwachstelle ermöglicht es Cyber-Akteuren, TAR-Dateianhänge auf eine bestimmte Weise zu formatieren und an eine E-Mail-Adresse zu senden, die zu einer Domäne gehört die mit einer ESG-Appliance verbunden ist.
Die Formatierung der bösartigen Datei führt beim Scannen zu einer Befehlsinjektion mit der Folge, dass Systembefehle mit den Rechten des ESG ausgeführt werden. Da die Schwachstelle im Scan-Prozess besteht, müssen E-Mails nur vom ESG empfangen werden, um die Schwachstelle auszulösen.

Bei der Untersuchung der Barracuda ESG-Appliance entdeckte das FBI zusätzliche Hinweise auf eine Kompromittierung und verifizierte unabhängig viele der öffentlich bekannten Hinweise auf eine Kompromittierung. Barracuda-Kunden sollten alle ESG-Appliances sofort entfernen.

Laut FBI sind die von Barracuda als Reaktion auf dieses CVE veröffentlichten Patches unwirksam.

Das FBI beobachtet weiterhin aktive Einbrüche und geht davon aus, dass alle betroffenen Barracuda ESG-Appliances kompromittiert und anfällig für diesen Exploit sind. Darüber hinaus sollten Kunden nach weiteren Kompromittierungen suchen, indem sie ausgehende Verbindungen anhand der Liste der Indikatoren überprüfen, da die böswilligen Cyber-Akteure bewiesen haben, dass sie in der Lage sind, E-Mail-Konten und Computernetzwerke zu kompromittieren und in den Netzwerken der Opfer zu verbleiben, um weitere Operationen und Datenexfiltrationen durchzuführen. Kunden, die privilegierte Unternehmensanmeldeinformationen für die Verwaltung ihrer Barracuda-Appliances verwendet haben (z. B. Active Directory Domain Admin), sollten sofort Schritte zur Untersuchung des Vorfalls unternehmen, um die Verwendung und das Verhalten aller auf ihren Geräten verwendeten Anmeldeinformationen zu überprüfen.

Quelle: PDF des FBI finden Sie >>hier<<

---