Критическая уязвимость в широко распространенном почтовом ПО компании Barracuda Networks использовалась для установки вредоносных программ и кражи данных в сетях крупных организаций. Уязвимость, исправленная 10 дней назад, эксплуатировалась с октября прошлого года. Ирония в том, что компания поставляет оборудование и софт для сетевой безопасности.
30 мая Barracuda уведомила клиентов об уязвимости и продолжает поиск возможных пострадавших. Компания предоставила им порядок действий, нейтрализующих обнаруженное зловредное ПО.
Уязвимость CVE-2023-2868, представляет возможность удаленного внедрения команд, возникающую из-за неполной проверки ввода предоставленных пользователем файлов в архивах TAR, содержащих несколько файлов. Когда имена файлов имеют определенный формат, злоумышленник может выполнять системные команды с помощью оператора QX — функции языка программирования Perl, которая обрабатывает кавычки. Уязвимость присутствует в версиях шлюза безопасности электронной почты Barracuda с 5.1.3.001 по 9.2.0.006.
Распространяемое через уязвимость вредоносное ПО, обнаруженное на сегодняшний день, включает пакеты Saltwater, Seaside и Seaspy. Программные модули имели возможность загружать и удалять файлы, выполнять команды, обеспечивать прокси и туннелирование. «Волшебный пакет», использовавшийся для удаленной активации ПО, был неразличим для средств контроля безопасности.
Источник: Ars Technica