Ngày 26 tháng 5 năm 2023Ravie LakshmananBảo mật email / Zero-Day
Nhà cung cấp dịch vụ bảo mật mạng và bảo vệ email Barracuda đang cảnh báo người dùng về lỗ hổng zero-day mà họ cho biết đã bị khai thác để vi phạm các thiết bị Cổng bảo mật email (ESG) của công ty.
Zero-day đang được theo dõi như CVE-2023-2868 và đã được mô tả là lỗ hổng chèn mã từ xa ảnh hưởng đến các phiên bản 5.1.3.001 đến 9.2.0.006.
Công ty có trụ sở tại California cho biết vấn đề bắt nguồn từ một thành phần sàng lọc các tệp đính kèm của email đến.
“Lỗ hổng phát sinh do không thể vệ sinh toàn diện quá trình xử lý tệp .tar (lưu trữ băng từ)”, theo lời khuyên từ cơ sở dữ liệu lỗ hổng quốc gia của NIST.
“Lỗ hổng bắt nguồn từ việc xác thực đầu vào không đầy đủ của tệp .tar do người dùng cung cấp vì nó liên quan đến tên của các tệp có trong kho lưu trữ. Do đó, kẻ tấn công từ xa có thể định dạng cụ thể các tên tệp này theo một cách cụ thể sẽ dẫn đến hậu quả là trong việc thực thi từ xa một lệnh hệ thống thông qua toán tử qx của Perl với các đặc quyền của sản phẩm Cổng bảo mật email.”
Barracuda lưu ý rằng thiếu sót được xác định vào ngày 19 tháng 5 năm 2023, khiến công ty phải triển khai một bản vá trên tất cả các thiết bị ESG trên toàn thế giới một ngày sau đó. Bản sửa lỗi thứ hai được phát hành vào ngày 21 tháng 5 như một phần của “chiến lược ngăn chặn”.
Ngoài ra, cuộc điều tra của công ty đã phát hiện ra bằng chứng về việc khai thác tích cực CVE-2023-2868, dẫn đến truy cập trái phép vào “tập hợp con của các thiết bị cổng email”.
Công ty có hơn 200.000 khách hàng toàn cầu đã không tiết lộ quy mô của cuộc tấn công. Nó cho biết những người dùng bị ảnh hưởng đã được liên hệ trực tiếp với một danh sách các hành động khắc phục cần thực hiện.
Barracuda cũng đã kêu gọi khách hàng của mình xem xét môi trường của họ, đồng thời cho biết thêm rằng họ vẫn đang tích cực theo dõi tình hình.
Danh tính của các tác nhân đe dọa đằng sau cuộc tấn công hiện chưa được xác định, nhưng các nhóm tin tặc Trung Quốc và Nga đã được quan sát thấy triển khai phần mềm độc hại riêng trên các thiết bị Cisco, Fortinet và SonicWall dễ bị tấn công trong những tháng gần đây.
Sự phát triển này diễn ra khi Defiant cảnh báo về việc khai thác quy mô lớn lỗ hổng cross-site scripting (XSS) hiện đã được sửa trong plugin có tên Beautiful Cookie Consent Banner (điểm CVSS: 7.2) được cài đặt trên hơn 40.000 trang web.
Lỗ hổng cung cấp cho những kẻ tấn công chưa được xác thực khả năng đưa JavaScript độc hại vào một trang web, có khả năng cho phép chuyển hướng đến các trang web quảng cáo độc hại cũng như tạo ra những người dùng quản trị giả mạo, dẫn đến việc tiếp quản trang web.
Công ty bảo mật WordPress cho biết họ “đã chặn gần 3 triệu cuộc tấn công nhằm vào hơn 1,5 triệu trang web, từ gần 14.000 địa chỉ IP kể từ ngày 23 tháng 5 năm 2023 và các cuộc tấn công vẫn đang tiếp diễn.”
