情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は12月25日、「Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構」において、Barracudaのメールセキュリティ・アプライアンス「Email Security Gateway Appliance(ESG)」に脆弱性が存在するとして、注意を喚起した。

○脆弱性の概要

これら脆弱性はすでに悪用が確認されており、悪用されると認証されていないリモートの攻撃者によって任意のコードが実行される可能性があるため注意が必要。

脆弱性に関する情報は次のページにまとまっている。

Barracuda Email Security Gateway Appliance (ESG) Vulnerability

Barracuda製 Email Security Gateway Appliance(ESG)の脆弱性について(CVE-2023-7102)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Barracuda Email Security Gateway Applianceバージョン5.1.3.001から9.2.1.001まで

○Barracudaの脆弱性への対応状況

Barracudaは12月21日(米国時間)、この脆弱性に対応するセキュリティアップデートをすべてのEmail Security Gateway Applianceに展開した。その後、一部の顧客の環境にて「SEASPY」および「SALTWATER」と呼ばれるマルウェアの亜種が展開されていることを確認したとして、2023年12月22日に追加の修復アップデートを展開している。これらアップデートは自動的に適用されるため、ユーザーによる対応の必要はないとアナウンスしている。

修正された脆弱性は次のとおり。

CVE-2023-7102 - サードパーティライブラリの「Spreadsheet::ParseExcel」内に存在する任意のコード実行の不具合。特別に細工されたExcelファイルを介して、一部のEmail Security Gateway Applianceへの攻撃が確認されている

Barracudaは本稿執筆時点でサードパーティライブラリ本体の修正やアップデートを確認できないとして、同ライブラリを使用しているすべての製品に脆弱性が存在する可能性を指摘。影響を広く周知するため、脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に「CVE-2023-7101」を登録した。ソフトウェア製品を開発する企業および組織は、自社製品にCVE-2023-7101の影響が存在しないかどうかを確認し、影響がある場合は速やかに修正することが望まれている。