漏洞公告
近日,安恒信息CERT监测到Zimbra官方发布了安全公告,修复了Zimbra Collaboration的一处命令注入漏洞(CVE-2022-27924),该漏洞允许未经身份验证的攻击者可以将任意 Memcache 命令注入目标实例,窃取明文凭据,可导致敏感信息泄露。目前官方已发布最新安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://wiki.zimbra.com/wiki/Security_Center
一
影响范围
受影响版本:
Zimbra Collaboration (aka ZCS) < 8.8.15 P31.1
Zimbra Collaboration (aka ZCS) < 9.0.0 P24.1
安全版本:
Zimbra Collaboration (aka ZCS) >= 8.8.15 P31.1
Zimbra Collaboration (aka ZCS) >= 9.0.0 P24.1
通过安恒SUMAP平台对全球部署的Zimbra进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
Zimbra是美国Zimbra公司的一套开源的电子邮件协作平台,类似于 Microsoft Exchange,它带有邮件服务器、负载平衡功能、强大的 Web 界面等等。
Zimbra Collaboration存在一处可导致Memcache 命令注入的漏洞,该漏洞允许未经身份验证的攻击者在没有任何用户交互的情况下从 Zimbra 实例窃取目标 Zimbra 部署用户的明文登录凭据。随着对受害者邮箱的访问,攻击者可能会升级他们对目标组织的访问权限,并获得对各种内部服务的访问权限并窃取高度敏感的信息。通过邮件访问,攻击者可以重置密码、冒充受害者,并阅读目标公司内的所有私人对话。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 未知 |
三
缓解措施
高危:目前漏洞细节已公开,官方已发布新版本修复了此漏洞,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
官方建议:
1、升级到Zimbra Collaboration (aka ZCS)至修复后的版本。
下载地址:https://wiki.zimbra.com/wiki/Security_Center
四
产品防护方案
目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。
AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.697版本(AiNTA-v1.2.3_release_ruletag_1.1.697)及以上版本。
规则名称:Zimbra Collaboration命令注入漏洞(CVE-2022-27924)
规则编号:93009585
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
明御APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对该漏洞的检测,请将规则包升级到GoldenEyeIPv6_30D54_strategy2.0.26011及以上版本。
规则名称:Zimbra Collaboration命令注入漏洞(CVE-2022-27924)
规则编号:93009585
明御Web应用防火墙
明御Web应用防火墙已默认支持对Zimbra Collaboration命令注入漏洞(CVE-2022-27924)的防护。
玄武盾websaas
玄武盾websaas目前已经集成了Zimbra Collaboration命令注入漏洞(CVE-2022-27924)的扫描和防护能力。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Zimbra Memcache 命令注入漏洞风险提示(CVE-2022-27924)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论