Pe parcursul lunilor iulie - august 2022, compania de threat
intelligence Volexity a descoperit mai multe incidente în care
organizaţia victimă a fost supusă unor disfuncţionalităţi grave ale
serverelor sale de e-mail Zimbra Collaboration Suite (ZCS). Potrivit
investigaţiilor, s-a descoperit că cauza cea mai probabilă a acestor
disfuncţionaliăţi a fost exploatarea CVE-2022-27925, caracterizată prin
executarea codului de la distanţă (RCE) în ZCS, şi concomitent
CVE-2022-37042 – ocolirea autentificării.
Exploatarea cu succes a
acestei vulnerabilități permite atacatorului să implementeze shell-uri
web în anumite locații de pe serverele compromise pentru a obține acces
persistent.
Volexity recomandă tuturor organizaţiilor care au
suspiciunea că serverele lor de e-mail ZCS au fost compromise, să
efectueze un rebuild al instanţei ZCS folosind cel mai recent patch
disponibil. De asemenea, conform datelor oficiale publicate de către
Zimbra: versiunile Zimbra mai vechi decât Zimbra 8.8.15 patch-ul 33 sau
Zimbra 9.0.0 patch-ul 26, se consideră a fi vulnerabile şi necesită
aplicarea urgentă a actualizărilor de securitate.
Totodată, aceste
două vulnerabilităţi Zimbra nu sunt probabil singurele exploatate în mod
activ, luând în considerare că Cybersecurity and Infrastructure
Security Agency (CISA) a lansat o avertizare cu privire la o altă
vulnerabilitate de severitate înaltă (CVE-2022-27924), ce permite unui
atacator neautentificat să injecteze comenzi memcache într-o instanță
ZCS și să cauzeze rescrierea intrărilor cache.
În scopul
sporirii protecției și evitării unui potențial atac, Echipa CERT Orange
Moldova recomandă administratorilor să verifice existența activităților
rău intenționate, în special în cazurile în care actualizările nu au
fost aplicate rapid.
În cazul în care sunteţi ţinta unui atac
cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă
gratuită şi o suită de soluţii avansate de securitate cibernetică.
Contactează un expert la 700 sau 022977700 pentru a primi suport
instant.
Mai multe detalii despre această vulnerabilitate:
Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
Authentication Bypass in MailboxImportServlet vulnerability
Zimbra auth bypass bug exploited to breach over 1,000 servers