Exploatarea vulnerabilităţii Zimbra ce a afectat peste 1,000 servere

Pe parcursul lunilor iulie - august 2022, compania de threat intelligence Volexity a descoperit mai multe incidente în care organizaţia victimă a fost supusă unor disfuncţionalităţi grave ale serverelor sale de e-mail Zimbra Collaboration Suite (ZCS). Potrivit investigaţiilor, s-a descoperit că cauza cea mai probabilă a acestor disfuncţionaliăţi a fost exploatarea CVE-2022-27925, caracterizată prin executarea codului de la distanţă (RCE) în ZCS, şi concomitent CVE-2022-37042 – ocolirea autentificării.
Exploatarea cu succes a acestei vulnerabilități permite atacatorului să implementeze shell-uri web în anumite locații de pe serverele compromise pentru a obține acces persistent.
Volexity recomandă tuturor organizaţiilor care au suspiciunea că serverele lor de e-mail ZCS au fost compromise, să efectueze un rebuild al instanţei ZCS folosind cel mai recent patch disponibil. De asemenea, conform datelor oficiale publicate de către Zimbra: versiunile Zimbra mai vechi decât Zimbra 8.8.15 patch-ul 33 sau Zimbra 9.0.0 patch-ul 26, se consideră a fi vulnerabile şi necesită aplicarea urgentă a actualizărilor de securitate.
Totodată, aceste două vulnerabilităţi Zimbra nu sunt probabil singurele exploatate în mod activ, luând în considerare că Cybersecurity and Infrastructure Security Agency (CISA) a lansat o avertizare cu privire la o altă vulnerabilitate de severitate înaltă (CVE-2022-27924), ce permite unui atacator neautentificat să injecteze comenzi memcache într-o instanță ZCS și să cauzeze rescrierea intrărilor cache.

În scopul sporirii protecției și evitării unui potențial atac, Echipa CERT Orange Moldova recomandă administratorilor să verifice existența activităților rău intenționate, în special în cazurile în care actualizările nu au fost aplicate rapid.
În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 sau 022977700 pentru a primi suport instant.

Mai multe detalii despre această vulnerabilitate:
Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
Authentication Bypass in MailboxImportServlet vulnerability

Zimbra auth bypass bug exploited to breach over 1,000 servers