De Email Security Gateways van Barracuda Networks hebben opnieuw te maken met een zero-day kwetsbaarheid, waardoor hackers backdoors kunnen installeren. Ondanks een update is de genoemde kwetsbaarheid nog niet opgelost.
Dit keer gaat het om een zero-day in een open-source library voor het verwerken van Excel-bestanden; de library Spreadsheet::ParseExcel. De library wordt door de Amavis-virusscanner op de ESG gebruikt voor het scannen van Excel-bijlagen die via e-mail worden verstuurd.
De kwetsbaarheid (CVE-2023-7102) maakt het mogelijk met malafide Excel-bijlagen willekeurige code op de Barracuda ESG uit te voeren.
Opnieuw Chinese hackers
Uit onderzoek van Barracuda blijkt dat inmiddels al een aantal exploits van deze kwetsbaarheid hebben plaatsgevonden. Hackers, waarschijnlijk de Chinese hackersgroep UNC4841, zouden erin geslaagd zijn twee backdoors op verschillende ESG-appliances te installeren.
De backdoors zijn nieuwe varianten van de SEASPY- en de SALTWATER-malware.
Updates uitgebracht
Barracuda heeft vlak voor de Kerstdagen in eerste instantie een automatische update uitgerold om de kwetsbaarheid te verhelpen. Een tweede opeenvolgende update is uitgebracht om getroffen ESG’s op te schonen.
Ondanks deze update, blijken nog enkele gateways kwetsbaar. Het beveiligingslek in Spreadsheet::ParseExcel (CVE-2023-7101) is nog altijd aanwezig. Bedrijven die deze specifieke library gebruiken worden daarom opgeroepen de nodige maatregelen te treffen.
Eerdere ESG-hacks
De op de valreep van 2023 aangetroffen kwetsbaarheid was niet de enige kwetsbaarheid in de ESG waarmee Barracuda Networks dit jaar te maken kreeg. In de zomer werd een kwetsbaarheid ontdekt die maandenlang verborgen bleef. Ook deze injecteerde de SEASPY- en SALTWATER-malware.
De kwetsbaarheid, die ook een mogelijke link met China had, werd volgens securityexperts ingezet voor spionageactiviteiten. Vooral in België, Duitsland en Polen. De hardnekkig te bestrijden kwetsbaarheid leidde ertoe dat Barracuda ESG-gebruikers op een gegeven moment opriep de gateways maar te vervangen.
Update: Barracuda heeft naar aanleiding van dit bericht contact met ons opgenomen. Het wil vooral duidelijk maken dat het hier gaat om een klein aantal appliances dat is getroffen. Verder zou de aanval als het gevolg van de kwetsbaarheid vooral zijn gericht op hightech- en IT-leveranciers en overheidsinstanties, voornamelijk in de VS en Azië-Pacific en Japan.
Volledige reactie vanuit Barracuda
Barracuda en Mandiant hebben op 20 december 2023 UNC4841 geïdentificeerd, dat misbruik maakt van een nieuwe kwetsbaarheid in een module van derden, Spreadsheet::ParseExcel (CVE-2023-7102). Deze aanval betreft een klein aantal Barracuda ESG-appliances en is gericht op hightech- en IT-leveranciers en overheidsinstanties, voornamelijk in de VS en Azië-Pacific en Japan.
Wij geloven dat deze campagne werd gestart op of rond 30 november 2023, als onderdeel van de bestaande spionageoperaties door UNC4841, waarbij nieuwe varianten van de SEASPY- en SALTWATER-backdoor-malware werden ingezet op de getroffen devices.
Op 21 en 22 december 2023 heeft Barracuda onmiddellijk gereageerd, door automatische updates uit te rollen die deze kwetsbaarheid verhelpen en de ESG-devices die mogelijk waren getroffen door de nieuwe malwarevarianten. Hoewel de ESG-updates geen actie van de klant vereisen, raadt Mandiant klanten van Barracuda toch aan om de advisory te lezen en de aanbevolen richtlijnen op te volgen.
Deze kwetsbaarheid was gericht op de openbare Perl-module ‘Spreadsheet::ParseExcel’, die door de ESG-appliance wordt gebruikt bij het screenen van Excel e-mailbijlagen op malware. Zodra een doelwit een e-mail ontvangt met de schadelijke Excel-bijlage van UNC4841, wordt de e-mail gescand door de Barracuda ESG-appliance, waardoor de schadelijke code in het Excel-bestand wordt uitgevoerd. Dit vereist geen interactie van een eindgebruiker, waardoor deze aanval zeer impactvol en effectief is.
Lees ook: Kwetsbaarheid in Email Security Gateway Barracuda Networks bleef maanden onontdekt
20 uur geleden
