Những ngày cuối năm 2023, các chuyên gia đã phát hiện 2 lỗ hổng zero-day CVE-2023-7102 và CVE-2023-7101 nhắm mục tiêu vào các thiết bị cổng bảo mật email Barracuda (ESG – Email Security Gateway) thông qua một tệp đính kèm Excel độc hại trong email.
Cả 2 lỗ hổng đều liên quan đến thư viện Spreadsheet: ParseExcel – một mô đun Perl được sử dụng để phân tích các tệp Excel và xuất phát từ một lỗ hổng thực thi mã tùy ý (ACE – Arbitrary Code Execution) trong thư viện của bên thứ ba Spreadsheet :: ParseExcel
Thư viện này từng bị nhóm hacker Trung Quốc UNC4841 lạm dụng khai thác.
Lỗ hổng đầu tiên CVE-2023-7102 ảnh hưởng đến các phiên bản Barracuda ESG 9.2.1.001 trở xuống, cho phép thực thi mã tùy ý từ xa mà không cần xác thực thông qua các tệp tự tạo đính kèm trong email. Barracuda đã nhanh chóng phát hành bản vá vào ngày 21 tháng 12 năm 2023 cho tất cả các thiết bị ESG đang hoạt động. Tuy nhiên, sau khi khai thác CVE-2023-7102, Barracuda phát hiện các biến thể mới của phần mềm độc hại SEASPY và SALTWATER trên một số thiết bị ESG bị xâm nhập nên đã phát hành một bản vá khác vào ngày 22 tháng 12 năm 2023.
Lỗ hổng thứ hai chưa được vá là CVE-2023-7101 cho phép kẻ tấn công thực thi mã tùy ý bằng cách thao tác với chuỗi định dạng số trong tệp Excel.
Trước mắt, người dùng và quản trị viên đang sử dụng các thiết bị cổng bảo mật email Barracuda cần cập nhật lên phiên bản mới nhất để tránh rủi ro trong khi chờ đợi bản vá chính thức của lỗ hổng CVE-2023-7101.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
