近900台服务器使用Zimbra零日漏洞被黑

近 900 台服务器被利用一个关键的 Zimbra Collaboration Suite (ZCS) 漏洞入侵，当时该漏洞是近 1.5 个月没有补丁的零日漏洞。

被跟踪为 CVE-2022-41352 的漏洞是一个远程代码执行漏洞，它允许攻击者发送带有恶意存档附件的电子邮件，该附件在 ZCS 服务器中植入 web shell，同时绕过防病毒检查。

据网络安全公司卡巴斯基称，在Zimbra 论坛上报告该漏洞后不久，各种 APT（高级持续威胁）组织就积极利用了该漏洞 。

卡巴斯基告诉我们，在漏洞被广泛宣传并收到CVE 标识符之前，他们检测到至少 876 台服务器被老练的攻击者利用该漏洞入侵 。

受到积极利用

上周，Rapid7 报告警告CVE-2022-41352 的积极利用，并敦促管理员应用可用的解决方法，因为当时没有安全更新。

同一天，在 Metasploit 框架中添加了概念验证（PoC），即使是低技能的黑客也可以对易受攻击的服务器发起有效的攻击。

Zimbra 此后发布了 ZCS 版本 9.0.0 P27 的安全修复程序 ，将易受攻击的组件 (cpio) 替换为 Pax，并删除了使利用成为可能的薄弱部分。

然而，此时利用已经加快了步伐，许多威胁行为者已经开始发动机会性攻击。

Volexity 报道称，其分析师已经确定了大约 1,600 台 ZCS 服务器，他们认为这些服务器受到了利用 CVE-2022-41352 来植入 webshell 的威胁行为者的攻击。

在与网络安全公司卡巴斯基的了解中我们得知，一个利用该关键漏洞的未知 APT 很可能根据发布到 Zimbra 论坛的信息拼凑出一个有效的漏洞利用。

第一次攻击始于 9 月，针对印度和土耳其的一些易受攻击的 Zimbra 服务器。最初的攻击浪潮可能是针对低兴趣目标的测试浪潮，以评估攻击的有效性。

然而，卡巴斯基评估称，攻击者在第一波攻击中入侵了 44 台服务器。

漏洞一公开，威胁行为者就改变了方向并开始执行大规模定位，希望在管理员修补系统并关闭入侵者之门之前破坏全球尽可能多的服务器。

第二波影响更大，用恶意 webshell 感染了 832 台服务器，尽管这些攻击比之前的攻击更加随机。

尚未应用可用 Zimbra 安全更新或变通办法的 ZCS 管理员需要立即执行此操作，因为利用活动正在进行中，并且可能在一段时间内不会停止。

原文始发于微信公众号（网络研究院）：近900台服务器使用Zimbra零日漏洞被黑