内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器

admin
admin
admin
100797
文章
86
评论
2022年10月24日00:55:38评论162 views字数 1709阅读5分41秒阅读模式

内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器

安芯网盾内存安全周报专栏,希望帮助企业更好地理解内存安全相关问题。让用户更好地认识、发现问题,防止外部入侵等威胁、有效地对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。


内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器
威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器。(10.16)
威胁者已经利用Zimbra Collaboration Suite(ZCS)中的关键漏洞CVE-2022-41352破坏了数百台服务器。
详细情况
上周,Rapid7的研究人员警告说,在Zimbra Collaboration Suite中未被修补的零日远程代码执行漏洞被利用,该漏洞编号为CVE-2022-41352。  
Rapid7 已在 AttackerKB 上发布了有关 CVE-2022-41352 的技术细节,包括概念验证 (PoC) 代码和威胁指标 (IoC)。
但有个坏消息:该公司尚未修补该漏洞,该漏洞CVSS得分9.8。
Rapid7报道说“CVE-2022-41352 是 Zimbra Collaboration Suite 中一个未修补的远程代码执行漏洞,由于在野利用被发现。”“该漏洞是Zimbra的防病毒引擎(Amavis)扫描入站电子邮件的方法(cpio)造成的。Zimbra 提供了一个解决方案,即安装pax程序并重新启动Zimbra服务。需要特别注意的是:pax默认安装在Ubuntu上,因此默认安装在Ubuntu的Zimbra不容易受到攻击。
专家指出,该漏洞是Zimbra的防病毒引擎(Amavis)用来扫描入站电子邮件的方法(cpio)方法造成的。  
据Zimbra用户表示,该漏洞自2020年9月初就一直被积极利用。威胁者通过简单地发送带有恶意附件的电子邮件就能将jsp文件上传到Web Client/Public目录中就可以利用该漏洞。
一位用户在Zimbra论坛上写道:“攻击者仅需设法发送带有恶意附件的电子邮件将jsp文件上传到Web Client/public目录中,我们就会遭到攻击。”  
Kaspersky研究人员调查了这些攻击后证实:来路不明的APT组织一直在野外积极利用CVE-2022-41352漏洞。一个威胁者感染中亚所有易受攻击的服务器系统。
Volexity研究人员也在研究这个漏洞以调查此次攻击,并且已经确定了全球大约1,600台ZCS服务器可能因此CVE而受到损害。  
更糟糕的是,2022 年 10 月 7 日,针对此问题的 PoC 漏洞利用代码已添加到 Metasploit 框架中。
以下是Kaspersky所述利用过程:  
攻击者发送带有恶意Tar存档附件的电子邮件。
Zimbra收到电子邮件后,将其提交给Amavis进行垃圾邮件和恶意软件检查。
Amavis分析电子邮件附件并检查所附加存档的内容,并调用cpio进而触发 CVE-2015-1197。
在提取过程中,JSP webshell被部署在Web邮件组件使用的公共目录之一。攻击者可以浏览Webshell以开始在受害的计算机上执行任意命令。  
Kaspersky观察到了针对此漏洞的连续两波攻击。第一波发生在9月初,针对的是亚洲政府目标。
第二个自9月30日开始,范围更大,针对的是部分中亚国家的所有易受攻击的服务器。  
Kaspersky发布的帖子中写道:“现在Metasploit已经添加了概念验证,我们预计第三波浪潮即将开始,可能将勒索软件作为终极目标”。  
Kaspersky还分享了威胁指标,包括为利用 CVE-2022-41352 漏洞而部署的 webshell 的已知位置路径。  
为解决此漏洞,Zimbra发布了版本 9.0.0 P27,并提供手动缓解措施,来阻止CVE-2022-41352漏洞的成功利用。
参考链接  
https://securityaffairs.co/wordpress/137164/apt/zimbra-cve-2022-41352-exploitation.html?web_view=true

内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器


内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器


内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器

内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器


原文始发于微信公众号(安芯网盾):内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月24日00:55:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器https://cn-sec.com/archives/1367147.html

发表评论

匿名网友 填写信息