Aanvallers hebben misbruik gemaakt van een zerodaylek in een opensource-library voor het verwerken van Excel-bestanden om Barracuda Email Security Gateways met malware te infecteren. Het gaat om de library Spreadsheet::ParseExcel. Barracuda heeft een update uitgebracht om gateways te beschermen, maar de kwetsbaarheid in Spreadsheet::ParseExcel is nog altijd niet opgelost en producten die van de library gebruikmaken zijn dan ook kwetsbaar.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. De Amavis-virusscanner die op de gateway draait maakt gebruik van Spreadsheet::ParseExcel voor het scannen van Excel-bijlagen die via e-mail worden verstuurd. Een kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om door middel van een malafide Excel-bijlage willekeurige code op de gateway uit te voeren.

Aanvallers hebben de kwetsbaarheid gebruikt om Barracuda Gateways met twee backdoors te infecteren om zo toegang tot de apparaten te behouden. Barracuda en securitybedrijf Mandiant claimen dat de zeroday-aanvallen zijn uitgevoerd door een vanuit China opererende groep. Op 21 december kwam Barracuda met een update om de kwetsbaarheid in de eigen implementatie (CVE-2023-7102) van de library te verhelpen, gevolgd met een update op 22 december om getroffen gateways op te schonen.

Het beveiligingslek in Spreadsheet::ParseExcel (CVE-2023-7101) is nog altijd aanwezig en organisaties die hiervan gebruikmaken, of met producten werken die van de library afhankelijk zijn, worden opgeroepen om maatregelen te treffen. De Australische overheid heeft inmiddels een waarschuwing afgegeven.