Libraesva Email Security Gateway (ESG) ist eine E-Mail-Sicherheitslösung, die von Unternehmen eingesetzt wird, um Spam zu filtern, Phishing-Versuche zu blockieren und einen mehrschichtigen Schutz gegen E-Mail-basierte Bedrohungen zu bieten. Die als CVE-2025-59689 identifizierte Schwachstelle ermöglicht es einem Angreifer, ohne Authentifizierung aus der Ferne beliebige Shell-Befehle als nicht privilegierter Benutzer auszuführen.
Die Schwachstelle betrifft Libraesva ESG-Versionen von 4.5 bis 5.5.x (vor den Korrekturversionen). Da bestätigte Fälle einer aktiven Ausnutzung vorliegen und die Schwachstelle in den CISA-Katalog der bekannten ausgenutzten Schwachstellen aufgenommen wurde, ist es entscheidend, die verfügbaren Patches umgehend zu installieren.
| Datum | 07.10.2025 13:30:31 |
Technische Zusammenfassung
Bei der Schwachstelle handelt es sich um eine Befehlsinjektion (Command Injection), die durch einen speziell präparierten komprimierten E-Mail-Anhang ausgelöst wird. Die zugrunde liegende Ursache ist eine „unzureichende Bereinigung bei der Entfernung von aktivem Code aus Dateien, die in bestimmten komprimierten Archivformaten enthalten sind“.
Das ESG-Gerät untersucht und verarbeitet komprimierte Archive (ZIP/tar/gz und ähnliche), die in eingehenden E-Mails eingebettet sind, um aktive Inhalte (Skripte, ausführbare Dateien usw.) zu entfernen oder zu neutralisieren. Während dieser Bereinigungs-Pipeline akzeptierte das Produkt vom Angreifer kontrollierte Daten aus dem Archiv (Dateinamen und/oder Dateiinhalte) und verwendete sie in einem Kontext, in dem eine Shell-Interpolation oder ein unsicherer externer Aufruf stattfand. Dies ermöglichte es dem Angreifer, Befehle zu injizieren, die der ESG-Prozess als lokaler, nicht privilegierter Benutzer ausführte.
Empfehlungen
- Patch umgehend anwenden: Nachfolgend finden Sie die entsprechenden Korrekturversionen basierend auf der ESG-Version:
| ESG-Version | Version mit Korrektur |
|---|---|
| 5.0 | 5.0.31 |
| 5.1 | 5.1.20 |
| 5.2 | 5.2.31 |
| 5.3 | 5.3.16 |
| 5.4 | 5.4.8 |
| 5.5 | 5.5.7 |
Suche nach IoCs: Der Patch enthält einen automatischen Scan auf Indikatoren für eine Kompromittierung (IoCs) sowie ein Selbstprüfungsmodul, das auf allen betroffenen Geräten ausgeführt wird, um die Integrität des Patches zu verifizieren und etwaige verbleibende Bedrohungen zu erkennen.
Überwachung: Analysieren Sie die E-Mail-Gateway-Protokolle auf verdächtige komprimierte Anhänge.
[Callforaction-THREAT-Footer]
Leave a Reply