Die kritische Sicherheitslücke in der Version 0.65 der Perl-Bibliothek "ParseExcel" wurde von Sicherheitsforschern von Mandiant entdeckt und ermöglicht es Angreifern, mithilfe von speziellen "Number format strings" in XLS- & XLSX-Dateien beliebigen Code aus der Ferne (Remote Code Execution, RCE) auszuführen. Die Schwachstelle wurde unter dem Eintrag CVE-2023-7101 von der MITRE registriert und der Proof of Concept wurde im März 2023 veröffentlicht. Ein Sicherheitspatch steht derzeit noch nicht zur Verfügung.
Ausnutzung der Schwachstelle
Die Sicherheitslücke ermöglicht es Angreifern, nicht validierte Eingaben in die "eval"-Funktion zu übergeben was es ihnen ermöglicht, beliebigen Code aus der Ferne auszuführen. Dies macht es einem entfernten anonymen Angreifer möglich die Schwachstelle in Perl auszunutzen und dadurch erheblichen Schaden anzurichten. Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dieser Schwachstelle da sie es Angreifern ermöglicht unbefugt Code auf betroffenen Systemen auszuführen.
Bereits ausgenutzte Schwachstelle
Während der Untersuchungen wurde festgestellt. Dass Sicherheitslücke in den "E-Mail Security Gateways (ESG)" des IT-Sicherheitsunternehmens Barracuda bereits ausgenutzt wurde. Die Angreifer führten beliebigen Code über nicht autorisierte Excel-Anhänge aus. Barracuda hat daraufhin am 22. Dezember 2023 einen Patch für die Sicherheitslücke bereitgestellt und empfiehlt die betroffenen ESGs zu bereinigen. Sowohl Barracuda sowie Mandiant gehen davon aus, dass die chinesische Spionagegruppe "UNC4841" die Lücke ausgenutzt hat die zur Verwendung das Installieren von Hintertüren bekannt ist.
Hintergrundinformationen zu ParseExcel
"ParseExcel" ist eine weit verbreitete Perl-Bibliothek die zum Lesen & Analysieren von Excel-Dateien in den Formaten XLS und XLSX verwendet wird. Diese Bibliothek ist in verschiedenen Anwendungen und Systemen weit verbreitet was die potenzielle Auswirkung der Sicherheitslücke erheblich vergrößert. Da viele Organisationen & Unternehmen auf Perl und ParseExcel als Teil ihrer Infrastruktur setzen ist es wichtig, dass die Sicherheitslücke schnellstmöglich behoben wird um potenzielle Angriffsrisiken zu minimieren.
Schutzmaßnahmen und Empfehlungen
Um das Risiko von Angriffen aufgrund der Sicherheitslücke in der ParseExcel-Bibliothek zu minimieren, sollten betroffene Unternehmen & Organisationen die verfügbaren Patches und Sicherheitsupdates von Barracuda und anderen Anbietern zeitnah einspielen. Zudem ist es ratsam, den Umgang mit Dateianhängen in E-Mails zu überprüfen und sicherzustellen, dass nur autorisierte und validierte Dateien geöffnet und ausgeführt werden.
Zusätzlich ist es empfehlenswert, regelmäßige Sicherheitsüberprüfungen & Audits durchzuführen um potenzielle Schwachstellen frühzeitig zu identifizieren und zu beheben. Die Aktualisierung und regelmäßige Überprüfung von Sicherheitsrichtlinien und -verfahren kann dabei helfen die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Sicherheit der IT-Infrastruktur zu gewährleisten.
Kommentare