美國資安主管機關網路安全暨基礎設施安全局（CISA）發布資安警訊，各單位立即檢視並調查是否因 Barracuda 日前修補的 0-day 漏洞，CVE 編號為 CVE-2023-2868，該漏洞是一個遠程命令注入漏洞，源自對用戶提供的.tar 文件的不完全輸入驗證。如果以特定方式格式化文件名，攻擊者可以通過QX 運算符執行系統命令。漏洞影響Barracuda Email Security Gateway v5.1.3.001 - v9.2.0.006，該產品廣為全球 200,000 個公私單位採用，包括大型企業如 Samsung、Mitsubishi、Kraft Heinz、Delta Airlines 以及各國政府機構。

建議措施：Barracuda 原廠表示，該 0-day 漏洞已經在 5 月 21 日時自動修補完成，但採用該公司 ESG 產品的客戶，其系統管理者仍應檢視其應用環境是否有遭到駭侵攻擊得逞的跡象；CISA 也對此發出相同的建議，聯邦單位仍應檢視是否曾遭攻擊。

CVE-2023-2868 的CVSS影響總體分數：9.4

資料來源：美國資安主管機關網路安全暨基礎設施安全局（CISA）

邀請您參與資安合規調查與分析，參與者可獲得下列專屬數據報告：
(1) 資安成熟度第一階評估報告
(2) 供應鏈資安月報：內含國際供應鏈資安政策趨勢、安全漏洞分析。
問卷網址： https://www.surveycake.com/s/34Vme