목차
- 취약점 요약
- Barracuda Networks Inc, Barracuda Email Security Gateway
- Barracuda Networks Inc 발표한 취약점 타임라인
- 영향받는 제품 및 버전
- CVE-2023-2868 정보
- Barracuda Networks 회사에서 조치한 대응
- 대응방안
취약점 요약
Barracuda Email Security Gateway(어플라이언스 폼 팩터 전용) 버전 5.1.3.001-9.2.0.006에 존재하는 원격 명령 주입 취약점(CVE-2023-2868)
Barracuda Networks Inc
Barracuda(바라쿠다) Networks, Inc.는 네트워크 장비 및 클라우드 서비스 를 기반으로 보안 , 네트워킹 및 스토리지 제품을 제공하는 회사이다.
이 회사의 보안 제품에는 이메일, 웹 서핑, 웹 해커 및 스팸 , 스파이웨어, 트로이 목마 및 바이러스 와 같은 인스턴트 메시징 위협 으로부터 보호하는 제품이 포함된다.
※ 200,000명 이상의 글로벌 고객을 보유한 회사.
Barracuda Email Security Gateway
인바운드 멀웨어, 스팸, 피싱 및 서비스 거부 공격으로부터 보호함으로써 비즈니스 생산성이 이메일 시스템을 통한 공격에 의해 영향을 받지 않도록 해준다.
강력하고 사용자 정의 가능한 정책을 통해 인바운드 이메일 메시지를 제어하는 세부 요구 사항을 추가로 적용할 수 있다.
Barracuda Networks Inc 발표한 취약점 타임라인
- 2023년 5월 18일, Barracuda는 Barracuda ESG(Email Security Gateway) 어플라이언스에서 발생하는 비정상적인 트래픽에 대해 경고를 받았습니다.
- 2023년 5월 18일, Barracuda는 세계적인 사이버 보안 전문가인 Mandiant와 협력하여 조사를 지원했습니다.
- 2023년 5월 19일, Barracuda는 이메일 보안 게이트웨이 어플라이언스(ESG)에서 취약점(CVE-2023-2868 1 )을 확인했습니다.
- 2023년 5월 20일, 취약점을 수정하기 위한 보안 패치가 전 세계 모든 ESG 어플라이언스에 적용되었습니다.
- 2023년 5월 21일에 영향을 받는 모든 어플라이언스에 스크립트를 배포하여 사고를 억제하고 무단 액세스 방법에 대응했습니다.
- 억제 전략을 강화하기 위해 일련의 보안 패치가 모든 어플라이언스에 배포되고 있습니다.
영향받는 제품 및 버전
| 제품명 | 영향을 받는 버전 |
| Barracuda ESG (Email Security Gateway) <어플라이언스 폼팩터만 해당> |
5.1.3.001 - 9.2.0.006 |
CVE-2023-2868 정보
파일의 이름과 관련된 사용자 제공 .tar 파일의 불완전한 입력 유효성 검사로 인해 원격 공격자는 파일 이름을 특정한 방식으로 형식화할 수 있다.
Email Security Gateway 제품의 권한으로 Perl의 qx 연산자를 통해 시스템 명령을 원격으로 실행하는 특정 방식으로 파일 이름의 형식을 지정할 수 있게 되었다.
ESG 어플라이언스의 하위 집합에 대한 무단 액세스 권한 획득이 가능하다.
Barracuda Networks 회사에서 조치한 대응
1. ESG 어플라이언스의 하위 집합에 대한 무단 액세스 권한을
얻은 것으로 확인이 되어, 영향을 받은 것으로 판단되는 어플라이언스의 사용자에게 ESG 사용자 인터페이스를 통해 취해야 할 조치에 대한 알림을 전송했다.
2. 알려진 IOC(Indicator of Compromise)를 제공하며 YARA 규칙을 공유하였다.
3. 조사 과정 중 발견 된 내용을 모두 공개하였다.
(ex. 영향을 받는 어플라이언스의 하위 집합에서 데이터 유출의 증거가 확인되었다는 내용.)
※ 정확한 공격 규모나 피해 범위는 공개하지 않았다.
대응방안
1.보안 패치 진행하기.
2. 다음 YARA 규칙을 사용하여 CVE-2023-2868을 악용하는 악성 TAR 파일을 찾기.
| rule M_Hunting_Exploit_Archive_2 { meta: description = "Looks for TAR archive with /tmp/ base64 encoded being part of filename of enclosed files" date_created = "2023-05-26" date_modified = "2023-05-26" md5 = "0d67f50a0bf7a3a017784146ac41ada0" version = "1.0" strings: $ustar = { 75 73 74 61 72 } $b64_tmp = "/tmp/" base64 condition: filesize < 1MB and $ustar at 257 and for any i in (0 .. #ustar) : ( $b64_tmp in (i * 512 .. i * 512 + 250) ) } |
rule M_Hunting_Exploit_Archive_3 { meta: description = "Looks for TAR archive with openssl base64 encoded being part of filename of enclosed files" date_created = "2023-05-26" date_modified = "2023-05-26" md5 = "0d67f50a0bf7a3a017784146ac41ada0" version = "1.0" strings: $ustar = { 75 73 74 61 72 } $b64_openssl = "openssl" base64 condition: filesize < 1MB and $ustar at 257 and for any i in (0 .. #ustar) : ( $b64_openssl in (i * 512 .. i * 512 + 250) ) } |
rule M_Hunting_Exploit_Archive_CVE_2023_2868 { meta: description = "Looks for TAR archive with single quote/backtick as start of filename of enclosed files. CVE-2023-2868" date_created = "2023-05-26" date_modified = "2023-05-26" md5 = "0d67f50a0bf7a3a017784146ac41ada0" version = "1.0" strings: $ustar = { 75 73 74 61 72 } $qb = "'`" condition: filesize < 1MB and $ustar at 257 and for any i in (0 .. #ustar) : ( $qb at (@ustar[i] + 255) ) } |
댓글