駭客攻陷Barracuda電子郵件安全閘道的零時差漏洞

專門提供安全、網路與儲存設備及服務的Barracuda日前修補了一個已遭駭客攻陷的零時差漏洞CVE-2023-2868，此一漏洞位於該公司所打造的電子郵件安全閘道器（Email Security Gateway，ESG）設備上，允許遠端駭客注入命令，Barracuda已藉由兩次的自動更新修補了該漏洞。

根據Barracuda的說明，CVE-2023-2868漏洞存在於收到郵件時，用來過濾附加檔案的模組，只影響ESG設備，並未波及其它產品。而美國國家標準暨技術研究院（NIST）則進一步解釋，該漏洞起因於無法完整驗證使用者所提供的.tar封存檔案，駭客只要以特定手法設計相關檔案的名稱，就能自遠端執行系統命令。

Barracuda是在5月19日發現該漏洞，20日便修補所有的ESG設備，於21日進行第二次修補，Barracuda已通知受影響的用戶，而修補行動則會自動進行。

不過，Barracuda也提醒該公司的調查僅限於ESG設備本身，而非用戶的環境，遭到入侵或攻擊的用戶應該檢查自己的環境以判斷是否必須採取其它行動。