[內容說明:]

轉發 國家資安資訊分享與分析中心 NISAC-ANA-202306-0439

研究人員發現Barracuda ESG存在遠端命令注入(Remote Command Injection)漏洞(CVE-2023-2868)，源自於對使用者提供的.tar檔案未有適當之輸入驗證(Improper input validation)，該漏洞在去(2022)年10月已遭駭客利用，攻擊者可於未經身分鑑別之情況下，藉由寄送偽造附件之電子郵件觸發此漏洞，進而遠端執行任意程式碼。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

● Barracuda ESG(僅限實體設備)5.1.3.001至9.2.0.006版本

[建議措施:]

Barracuda原廠表示，已於5/21透過強制更新機制，套用2個針對此漏洞之修補程式自動完成修補。雖然漏洞已經自動修補完成，但採用Barracuda ESG產品之系統管理者仍應檢視其應用環境是否有遭到駭侵攻擊得逞之跡象。若已遭駭侵，則建議立即更新設備以策安全。

[參考資料:]
1. https://www.barracuda.com/company/legal/esg-vulnerability
2. https://nvd.nist.gov/vuln/detail/CVE-2023-2868
3. https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally