威脅者利用Zimbra的CVE-2022-41352 漏洞入侵了數百臺伺服器。(10.16)
威脅者已經利用Zimbra Collaboration Suite(ZCS)中的關鍵漏洞CVE-2022-41352破壞了數百臺伺服器。
詳細情況
上週,Rapid7的研究人員警告說,在Zimbra Collaboration Suite中未被修補的零日遠端程式碼執行漏洞被利用,該漏洞編號為CVE-2022-41352。 Rapid7 已在 AttackerKB 上釋出了有關 CVE-2022-41352 的技術細節,包括概念驗證 (PoC) 程式碼和威脅指標 (IoC)。但有個壞訊息:該公司尚未修補該漏洞,該漏洞CVSS得分9.8。
Rapid7報導說“CVE-2022-41352 是 Zimbra Collaboration Suite 中一個未修補的遠端程式碼執行漏洞,由於在野利用被發現。”“該漏洞是Zimbra的防病毒引擎(Amavis)掃描入站電子郵件的方法(cpio)造成的。Zimbra 提供了一個解決方案,即安裝pax程式並重新啟動Zimbra服務。需要特別注意的是:pax預設安裝在Ubuntu上,因此預設安裝在Ubuntu的Zimbra不容易受到攻擊。專家指出,該漏洞是Zimbra的防病毒引擎(Amavis)用來掃描入站電子郵件的方法(cpio)方法造成的。 據Zimbra使用者表示,該漏洞自2020年9月初就一直被積極利用。威脅者透過簡單地傳送帶有惡意附件的電子郵件就能將jsp檔案上傳到Web Client/Public目錄中就可以利用該漏洞。
一位使用者在Zimbra論壇上寫道:“攻擊者僅需設法傳送帶有惡意附件的電子郵件將jsp檔案上傳到Web Client/public目錄中,我們就會遭到攻擊。” Kaspersky研究人員調查了這些攻擊後證實:來路不明的APT組織一直在野外積極利用CVE-2022-41352漏洞。一個威脅者感染中亞所有易受攻擊的伺服器系統。
Volexity研究人員也在研究這個漏洞以調查此次攻擊,並且已經確定了全球大約1,600臺ZCS伺服器可能因此CVE而受到損害。 更糟糕的是,2022 年 10 月 7 日,針對此問題的 PoC 漏洞利用程式碼已新增到 Metasploit 框架中。
以下是Kaspersky所述利用過程: 攻擊者傳送帶有惡意Tar存檔附件的電子郵件。
Zimbra收到電子郵件後,將其提交給Amavis進行垃圾郵件和惡意軟體檢查。Amavis分析電子郵件附件並檢查所附加存檔的內容,並呼叫cpio進而觸發 CVE-2015-1197。
在提取過程中,JSP webshell被部署在Web郵件元件使用的公共目錄之一。攻擊者可以瀏覽Webshell以開始在受害的計算機上執行任意命令。 Kaspersky觀察到了針對此漏洞的連續兩波攻擊。第一波發生在9月初,針對的是亞洲政府目標。
第二個自9月30日開始,範圍更大,針對的是部分中亞國家的所有易受攻擊的伺服器。 Kaspersky釋出的帖子中寫道:“現在Metasploit已經新增了概念驗證,我們預計第三波浪潮即將開始,可能將勒索軟體作為終極目標”。 Kaspersky還分享了威脅指標,包括為利用 CVE-2022-41352 漏洞而部署的 webshell 的已知位置路徑。 為解決此漏洞,Zimbra釋出了版本 9.0.0 P27,並提供手動緩解措施,來阻止CVE-2022-41352漏洞的成功利用。
參考連結
https://securityaffairs.co/wordpress/137164/apt/zimbra-cve-2022-41352-exploitation.html?web_view=true