内存安全周报第113期|威胁者利用Zimbra的漏洞入侵了数百台服务器

威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器tar。（10.16）

威胁者已经利用Zimbra Collaboration Suite（ZCS）中的关键漏洞CVE-2022-41352破坏了数百台服务器tar。

详细情况

上周，Rapid7的研究人员警告说，在Zimbra Collaboration Suite中未被修补的零日远程代码执行漏洞被利用，该漏洞编号为CVE-2022-41352tar。 Rapid7 已在 AttackerKB 上发布了有关 CVE-2022-41352 的技术细节，包括概念验证 (PoC) 代码和威胁指标 (IoC)。但有个坏消息：该公司尚未修补该漏洞，该漏洞CVSS得分9.8。

Rapid7报道说“CVE-2022-41352 是 Zimbra Collaboration Suite 中一个未修补的远程代码执行漏洞，由于在野利用被发现tar。”“该漏洞是Zimbra的防病毒引擎（Amavis）扫描入站电子邮件的方法（cpio）造成的。Zimbra 提供了一个解决方案，即安装pax程序并重新启动Zimbra服务。需要特别注意的是：pax默认安装在Ubuntu上，因此默认安装在Ubuntu的Zimbra不容易受到攻击。专家指出，该漏洞是Zimbra的防病毒引擎（Amavis）用来扫描入站电子邮件的方法(cpio)方法造成的。 据Zimbra用户表示,该漏洞自2020年9月初就一直被积极利用。威胁者通过简单地发送带有恶意附件的电子邮件就能将jsp文件上传到Web Client/Public目录中就可以利用该漏洞。

一位用户在Zimbra论坛上写道:“攻击者仅需设法发送带有恶意附件的电子邮件将jsp文件上传到Web Client/public目录中，我们就会遭到攻击tar。” Kaspersky研究人员调查了这些攻击后证实：来路不明的APT组织一直在野外积极利用CVE-2022-41352漏洞。一个威胁者感染中亚所有易受攻击的服务器系统。

Volexity研究人员也在研究这个漏洞以调查此次攻击，并且已经确定了全球大约1，600台ZCS服务器可能因此CVE而受到损害tar。 更糟糕的是，2022 年 10 月 7 日，针对此问题的 PoC 漏洞利用代码已添加到 Metasploit 框架中。

以下是Kaspersky所述利用过程： 攻击者发送带有恶意Tar存档附件的电子邮件tar。

Zimbra收到电子邮件后，将其提交给Amavis进行垃圾邮件和恶意软件检查tar。Amavis分析电子邮件附件并检查所附加存档的内容，并调用cpio进而触发 CVE-2015-1197。

在提取过程中,JSP webshell被部署在Web邮件组件使用的公共目录之一tar。攻击者可以浏览Webshell以开始在受害的计算机上执行任意命令。 Kaspersky观察到了针对此漏洞的连续两波攻击。第一波发生在9月初，针对的是亚洲政府目标。

第二个自9月30日开始，范围更大，针对的是部分中亚国家的所有易受攻击的服务器tar。 Kaspersky发布的帖子中写道:“现在Metasploit已经添加了概念验证，我们预计第三波浪潮即将开始，可能将勒索软件作为终极目标”。 Kaspersky还分享了威胁指标，包括为利用 CVE-2022-41352 漏洞而部署的 webshell 的已知位置路径。 为解决此漏洞，Zimbra发布了版本 9.0.0 P27，并提供手动缓解措施，来阻止CVE-2022-41352漏洞的成功利用。

参考链接