Lücke in Barracuda E-Mail Security Gateway ermöglichte Code-Einschleusung
Einfallstor für die Sicherheitslücke ist ein Excel-Parser. Barracuda hat bereits Patches auf allen betroffenen Geräten ausgerollt.
(Bild: vectorfusionart/Shutterstock.com)
In Barracudas "Email Security Gateway"-Appliance (ESG) klaffte eine Sicherheitslücke, über die Angreifer eigenen Schadcode ausführen konnten. Mit einem präparierten E-Mail-Attachment brachten sie den Mailfilter Amavis aus dem Tritt, der auf der Barracuda-Appliance jede eingehende Mail überprüft. Die Appliance nutzt die Filtersoftware zur Viren- und Malware-Prüfung und bindet eine angreifbare Perl-Bibliothek ein, was ihr zum Verhängnis wird.
Bereits in der Weihnachtswoche hatte Barracuda seine Nutzer mit einem Sicherheitshinweis auf das Problem aufmerksam gemacht. Die Lücke mit der CVE-ID CVE-2023-7102 erreicht mit einem CVSS-Punktwert von 9.8 fast das Maximum und ist daher als kritisch eingestuft. Stein des Anstoßes ist die Perl-Bibliothek Spreadsheet::ParseExcel, die in Barracudas Virenscanner für die Überprüfung von XLS- und XLSX-Dateien zuständig ist. Bereits im vergangenen März hatte ein Sicherheitsforscher eine Methode gefunden, mit präparierten Excel-Dateien beliebigen Perl-Code im Kontext des Parsers auszuführen, diese aber offenbar nicht veröffentlicht.
Angriffe aus dem Reich der Mitte
Barracuda meldet, dass eine Gruppe von vermutlich chinesischen Angreifern die Sicherheitslücke im Dezember bereits nutzten, um Malware auf ESG-Appliances zu installieren. Die Schadprogramme namens SEASPY und SALTWATER waren im vergangenen Mai bereits im Zusammenhang mit einer ähnlich gefährlichen Sicherheitslücke in ESG aufgetaucht – hier war das Einfallstor jedoch ein präpariertes tar-Archiv.
Updates für betroffene Geräte wurden durch den Hersteller am 21. Dezember bereits automatisch angewendet. Auch bereits erfolgreich angegriffene Appliances sind, so Barracuda, wieder einsatzbereit. Anders als bei einem Sicherheitsvorfall im August 2023, nach dem Barracuda-Kunden ihre Systeme entsorgen sollten, gab es hier offenbar noch einen Weg, die Backdoors vom E-Mail-Security-Gateway zu entfernen.
Auch die Entwickler der betroffenen Perl-Bibliothek haben reagiert: Das Sicherheitsleck ist mittlerweile gepatcht und neue Versionen, etwa für Debian unter dem Namen libspreadsheet-parseexcel-perl, stehen zur Verfügung. Admins und Entwickler, die Excel-Dateien mittels Perl parsen, sollten prüfen, ob sie die reparierte Version einsetzen.
(cku)
