Zimbra – aktívne zneužívané závažné zraniteľnosti

12. augusta 2022

Podľa spoločnosti Volexity útočníci aktívne zneužívajú zraniteľné servery Zimbra. Útočníci zreťazujú závažné zraniteľnosti, ktoré im umožňujú neoprávnene pristúpiť na server a vzdialene vykonávať škodlivý kód – nasadiť na server web shell. Podľa spoločnosti Volexity je aktuálne z verejného internetu dostupných viac ako 1 000 kompromitovaných Zimbra serverov. VJ CSIRT odporúča skontrolovať servery Zimbra na prítomnosť kompromitácie a nasadiť bezpečnostné záplaty na zraniteľné inštancie.

Opis činnosti:

CVE-2022-27925

Zraniteľnosť CVE-2022-27925 bola pôvodne prezentovaná ako chyba umožňujúca vzdialené vykonanie škodlivého kódu po úspešnej autentifikácii. Avšak po zreťazení zraniteľnosti napríklad s chybou CVE-2022-37042 dokáže neautentifikovaný útočník triviálne napadnúť server Zimbra a vzdialene na ňom vykonávať škodlivý kód. V objavených prípadoch útočník na kompromitovaný server Zimbra následne nasadil web shell pre zabezpečenie perzistencie svojho prístupu. Spoločnosť uvádza, že nasadenie bezpečnostných opráv by mohlo odstrániť potenciálny web shell z kompromitovaného serveru. Nie je to však isté, keďže útočník mohol na vytvorenie perzistencie nainštalovať rôzne druhy malvérov na kompromitovaný server, či použiť proces Cron.

V dôsledku uvedenia ako stredne závažnej zraniteľnosti ostalo veľa z internetu dostupných Zimbra serverov zraniteľných, keďže niektoré organizácie odložili opravu zraniteľností pre nedostatočne vysoké CVSS skóre.

Napriek týmto zisteniam, tieto zraniteľnosti nemusia byť jediné, ktoré útočníci aktívne zneužívajú pre kompromitáciu zraniteľných inštancií. Agentúra CISA publikovala varovanie o možnej potenciálne zneužiteľnej zraniteľnosti CVE-2022-27924, ktorá môže spôsobovať ďalšie aktívne incidenty v súvislosti s kompromitáciou serverov Zimbra.

Zraniteľné systémy:

Zimbra ZCS staršie ako 8.8.15P31
Zimbra ZCS staršie ako 9.0.0P24

Závažnosť zraniteľnosti: Kritická

Možné škody:

Odcudzenie dát (dáta/mailová komunikácia)
Zneužitie serveru na ďalšiu škodlivú činnosť

Odporúčania:

Nasadiť bezpečnostné záplaty (minimálne verzie 8.8.15P31 a 9.0.0P24)
Vykonať analýzu servera pre prítomnosť škodlivého webshellu (časť Conclusion – https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/)
Ak si nie ste istí bezpečnosťou Vášho mailového serveru Zimbra, odporúčame zálohovať maily a vytvoriť a nakonfigurovať nový mailový server Zimbra

Odkazy:

https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/

https://www.bleepingcomputer.com/news/security/zimbra-auth-bypass-bug-exploited-to-breach-over-1-000-servers/

https://thehackernews.com/2022/08/researchers-warn-of-ongoing-mass.html

https://securityaffairs.co/wordpress/134314/hacking/zimbra-rce-actively-exploited.html