Barracuda Networks heeft onlangs een kwetsbaarheid in zijn Email Security Gateway ontdekt. De kwetsbaarheid stond de laatste acht maanden lang open zonder dat de securityspecialist op de hoogte was en een patch werd uitgebracht.
De Email Security Gateway (ESG) van Barracuda is de laatste acht maanden niet zo veilig geweest als het had moeten zijn. Volgens een verklaring van de securityspecialist stond de populaire streng beveiligde zakelijke e-mailclient de afgelopen acht maanden open voor hackers door een zero-day kwetsbaarheid. Meer concreet tussen oktober 2022 en 20 mei 2023, bleek uit onderzoek van de securityspecialist en Mandiant.
.tar-bestanden vormen oorzaak
Uit het onderzoek bleek dat door de kwetsbaarheid hackers een remote command-injectie konden uitvoeren vanwege een ‘incomplete inputvalidatie’ van door gebruikers geleverde .tar-bestanden of zogenoemde ‘tarballs’. Dit zijn een soort ZIP-bestanden die een verzameling van bestanden in een enkele container samenvoegen.
In de versies .1.3.001 t/m 9.2.0.006 van de ESG-client konden hackers systeemcommando’s uitvoeren via de QX-operator als een tarball een specifieke, niet-vermelde, manier naam had gekregen.
Drie malware-injecties
Hackers hebben de kwetsbaarheid dus helaas in de genoemde periode actief weten te misbruiken, gaat Barracuda Networks verder. Zij injecteerden systemen met maar liefst drie soorten malware: Saltwater, Seaside, and Seaspy. Met deze kwaadaardige software kunnen hackers onder meer C2, command injection, poortmonitoring en persistent backdoorfunctionaliteit uitvoeren en gebruiken.
Inmiddels is de kwetsbaarheid, na ontdekking, binnen drie dagen gepatcht en is er een mitigatietraject gepubliceerd. Barracuda Networks geeft niet aan hoeveel eindgebruikers door de maandenlange kwetsbaarheid zijn getroffen, maar heeft wel eindgebruikers op de hoogte gesteld.
Lees ook: 55% van Benelux-bedrijven meer dan eens slachtoffer van ransomware in 2022
10 uur geleden
