Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102：エクスプロイトも観測？

CVE-2023-7102: A zero-day flaw affects Barracuda Email Security Gateway

2023/12/25 SecurityOnline — 複雑なサイバー・セキュリティの世界において、いまの Barracuda Networks が直面しているのは、Spreadsheet::ParseExcel ライブラリに存在する、２つのゼロデイ脆弱性 CVE-2023-7102／CVE-2023-7101 という難題である。これらの脆弱性は、サードパーティ・ライブラリ Spreadsheet::ParseExcel の任意のコード実行 (ACE：Arbitrary Code Execution) の欠陥に起因するものであり、中国の脅威アクター UNC4841 による悪用が確認されている。また、この脆弱性は、同社の Email Security Gateway (ESG) デバイスを標的として、メールに添付されたファイル (Excel 形式) を介して悪用されていたことが、Barracuda と Mandiant の共同調査で判明している。 

脆弱性 CVE-2023-7102 は、ESG のマルウェア保護機能で使用されている、オープンソースのサードパーティ・ライブラリ Spreadsheet::ParseExcel に起因するものだ。この脆弱性は、Barracuda ESG 9.2.1.001 までのバージョンに影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、特別に細工されたメールの添付ファイルを介して、認証なしでリモート・コード実行が可能となる。

2023年5月にも、Barracuda ESG では、別の脆弱性 CVE-2023-2868 が発見されている。この 脆弱性を悪用する攻撃に関与していたのは、中国のグループ UNC4841 であるが、先日に発見された脆弱性 CVE-2023-7102 を狙う攻撃にも関与していると、同社は見ている。

一連の問題に対応する Barracuda は、すべてのアクティブな ESG に対して、2023年12月21日にセキュリティ・アップデートを配布し、脆弱性 CVE-2023-7102 対策を強化した。Barracuda のアップデートは、ユーザーによるアクションが不要であり、同社のテクノロジの保護に対するコミットメントを示している。

しかし、対策は、これで終わらなかった。Barracuda は、CVE-2023-7102 の悪用を発見した後に、少数の侵害された ESG デバイスで SEASPY／SALTWATER マルウェアの亜種が展開されていることを発見した。同社は、これらのマルウェア感染の兆候を示すデバイスに対して、2023年12月22日にパッチを リリースした。

CVE-2023-7102 と CVE-2023-7101

また、Barracuda は、認知度を高めるための広範な動きとして、オープンソース・ライブラリ Spreadsheet::ParseExcel に存在する、脆弱性 CVE-2023-7101 も発表した。この脆弱性の悪用に成功した攻撃者は、Excel ファイル内の Number フォーマット文字列を操作することで、任意のコード実行が可能になるという。

同社のアドバイザリには、「Spreadsheet::ParseExcel は、Excel ファイルの解析に使用される Perl モジュールである。Spreadsheet::ParseExcel には、ファイルから文字列型の “eval” に渡される有効ではない入力データにより、任意のコード実行の脆弱性が悪用される。具体的に言うと、この問題は Excel の解析ロジック内の、Number フォーマット文字列 (printf スタイルのフォーマット文字列と混同しないように) の評価に起因する」と詳述されている。

このケースが浮き彫りにするのは、サイバー・セキュリティ領域における、継続的な警戒と迅速な対応の重要性である。Barracuda の調査結果は、Spreadsheet::ParseExcel を使用している組織にとって、脆弱性 CVE-2023-7101 に対する安全策の導入を促す重要な警告となる。さらに Barracuda は、関連する UNC4841 の活動の監視を支援するために、侵害の指標 (IoC：Indicators of Compromise) をリリースしており、このような高度なサイバー脅威の検出／阻止のためのツールを企業に提供している。

Barracuda から２つの脆弱性が発表されましたが、同社の成否に影響を及ぼすのは CVE-2023-7102 だけというふうに読めます。現時点で、悪用も観測されていますが、NVD には CVSS 値が掲載されていません。その他のサイトでは feedly が High と評価しています。なお、CVE-2023-7101 に関しては、同様に Spreadsheet::ParseExcel で発見された脆弱性とのことですが、この時点では、Barracuda 製品には影響しないようです。なんとなく、記事の文面が曖昧ですが・・・