Masszív kihasználtság alatt egy Zimbra sebezhetőség

A CISA (Cybersecurity and Infrastructure Security Agency) két sebezhetőségre figyelmeztetett a Zimbra platform termékeiben, miután a Volexity kiberbiztonsági cég a hibák tömeges kihasználásáról számolt be.

2022. augusztus 10-én a Zimbra kiadott egy tájékoztatást, amelyben a szoftver régebbi verzióit futtató ügyfeleit a frissítések azonnali telepítésére szólította fel, ezt követően a CISA minden amerikai civil ügynökséget arra utasított, hogy szeptember 1-ig telepítse a javításokat, amelyek a MailboxImportServlet hibáit (CVE-2022-37042 és CVE-2022-27925) foltozzák.

A Volexity arra hívja fel a figyelmet, hogy a CVE-2022-27925 sebezhetőséget bár 2022 márciusában a gyártó javította, ám ekkor még úgy tűnt, hogy a hiba csak körülményesen és kizárólag admin-szintű hozzáféréssel használható ki. Csakhogy a cég azóta több olyan incidenssel is találkozott, amelyiknél semmilyen jel nem utalt arra, hogy a támadó admin jogot szerzett volna az adott rendszeren. Miután ezt jelezték a Zimbrának, a cég júliusban új frissítést adott ki a már CVE-2022-37042 alatt azonosított hibához.

Tömeges kihasználás

A Volexity szerint a CVE-2022-27925-öt különböző fenyegetési szereplők már 2022. június végétől tömeges támadásokat indítottak ZCS (Zimbra Collaboration Suite) példányok ellen. A vállalat későbbi vizsgálatai során világszerte több mint 1000 ZCS-t talált, amelyek már kompromittálódtak, de valószínűleg ennél jóval több szerver érintett.

A Volexity azt tanácsolja, hogy amennyiben egy cég  ZCS-t használ, amin nem került telepítésre a 8.8.15P31 vagy a 9.0.0P24 frissítés 2022 május vége előtt, az a ZCS példány kompromittáltnak tekintendő, beleértve az azon tárolt valamennyi adatot ─  például az e-maileket ─, ezért javasolt a szervert automatikusan kivizsgálás alá vonni, támadásra utaló jelek hiányában is.

Forrás: Volexity

A cég tesztelése alapján úgy tűnik, hogy a ZCS példányok legújabb verzióra történő frissítése eltávolíthatja az egyes könyvtárakban elhelyezett webshelleket, azonban ha a támadó telepített bármilyen tartósan fentálló ─ például cronon keresztül futtatott ─ rosszindulatú programot, akkor a ZCS példány frissítése önmagában nem elegendő a kompromittáltság orvoslásához.

(therecord.media)