El proveedor de protección a correos electrónicos y seguridad de red, Barracuda, ha hecho un llamado de advertencia sobre una vulnerabilidad Zero-day la cual atenta contra la integridad de los dispositivos de pasarela segura para la protección del correo electrónico, o SEG (Secure Email Gateway) por sus siglas en ingles.
La vulnerabilidad en cuestión ha sido rastreada como CVE-2023-2868. Esta vulnerabilidad permite la inyección de código remoto y afecta a los dispositivos desde la versión 5.1.3.001 hasta la versión 9.2.0.002. El problema tiene su raíz en un acceso no autorizado a un subconjunto de dispositivos Gateway de correo electrónico, los cuales examinan los archivos adjuntos de los correos electrónicos entrantes.
Según se observó, la vulnerabilidad se debe a una validación de entrada incompleta de un archivo .tar el cual es ingresado por el usuario, en lo que respecta a los nombres de los ficheros contenidos en el archivo. Esto, como consecuencia, permite que un atacante remoto formatear estos nombres de ficheros, de manera tal, que resulta en la ejecución remota de un comando de sistema por medio del operador qx de Perl, con los privilegios del producto SEG.
CISA
En consecuencia, a esta vulnerabilidad, la agencia de seguridad cibernética y seguridad de la infraestructura, CISA, por sus siglas en inglés, realizo un comunicado donde instaba al parcheo inmediato de la vulnerabilidad Zero-day, en dispositivos Barracuda.
Según Barracuda, sus soluciones de seguridad son utilizadas por mas de 200,000 organizaciones a nivel mundial, incluyendo compañías de alto perfil, como Samsung, Mitsubishi, Kraft Heinz y Delta Airlines.
A su vez las agencias pertenecientes a las “agencias federales de poder ejecutivo civil” (FCEB) deberán parchar o mitigar esta vulnerabilidad bajo la orden BOD 22-01 de la directiva operativa vinculante.
La investigación de la compañía descubrió evidencia de la explotación de CVE-2023-2868, sin embargo, la identificación de los actores maliciosos detrás de este ataque sigue siendo desconocida, aunque, se sospecha de grupos de hacker chinos o rusos, los cuales han sido observados desplegando el malware bespoke, en dispositivos de Cisco, Fortinet, y SonicWall, en estos últimos meses.
El parcheo
La vulnerabilidad fue identificada el 19 de mayo de 2023 lo que implicó que la compañía liberara un parche para todos los dispositivos SEG, un día luego de su descubrimiento, liberándose un segundo parche el 21 de mayo de 2023.
Así mismo, CISA, agregó el pasado viernes, esta vulnerabilidad de inyección de código remoto a su catálogo de vulnerabilidades explotadas conocidas o KEV (Known Exploited Vulnerabilities).
Barracuda informó que la investigación sobre los dispositivos comprometidos se encontraba limitada a los productos ESG y hacia un llamado a todos aquellos que se vieran afectados, a hacer una revisión completa de su entorno, con el fin de asegurarse de que los actores maliciosos no habían tenido acceso a otros dispositivos de la red.
De acuerdo con lo anterior, aquellas agencias federales que utilicen sus servicios deberán que tomar muy en cuenta, la alerta hecha por CISA, y hacer una revisión de sus redes, en busca de cualquier signo de intrusión, por parte de los actores maliciosos.
En palabras de CISA “Este tipo de vulnerabilidades son vectores de ataque frecuentes para los actores maliciosos y plantean riesgos significativos para la empresa federal”.
La compañía aseguró que seguirán monitoreando activamente esta situación y se comprometen a ser transparentes a la hora de compartir los detalles de las acciones tomadas por estos. De manera que la información que se comparta sea validada con medidas prácticas para el usuario.
