作者:云匢天仙草 | 来源:互联网 | 2023-08-18 19:23
威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器tar。(10.16)
威胁者已经利用Zimbra Collaboration Suite(ZCS)中的关键漏洞CVE-2022-41352破坏了数百台服务器tar。
详细情况
上周,Rapid7的研究人员警告说,在Zimbra Collaboration Suite中未被修补的零日远程代码执行漏洞被利用,该漏洞编号为CVE-2022-41352tar。 Rapid7 已在 AttackerKB 上发布了有关 CVE-2022-41352 的技术细节,包括概念验证 (PoC) 代码和威胁指标 (IoC)。但有个坏消息:该公司尚未修补该漏洞,该漏洞CVSS得分9.8。
Rapid7报道说“CVE-2022-41352 是 Zimbra Collaboration Suite 中一个未修补的远程代码执行漏洞,由于在野利用被发现tar。”“该漏洞是Zimbra的防病毒引擎(Amavis)扫描入站电子邮件的方法(cpio)造成的。Zimbra 提供了一个解决方案,即安装pax程序并重新启动Zimbra服务。需要特别注意的是:pax默认安装在Ubuntu上,因此默认安装在Ubuntu的Zimbra不容易受到攻击。专家指出,该漏洞是Zimbra的防病毒引擎(Amavis)用来扫描入站电子邮件的方法(cpio)方法造成的。 据Zimbra用户表示,该漏洞自2020年9月初就一直被积极利用。威胁者通过简单地发送带有恶意附件的电子邮件就能将jsp文件上传到Web Client/Public目录中就可以利用该漏洞。
一位用户在Zimbra论坛上写道:“攻击者仅需设法发送带有恶意附件的电子邮件将jsp文件上传到Web Client/public目录中,我们就会遭到攻击tar。” Kaspersky研究人员调查了这些攻击后证实:来路不明的APT组织一直在野外积极利用CVE-2022-41352漏洞。一个威胁者感染中亚所有易受攻击的服务器系统。
Volexity研究人员也在研究这个漏洞以调查此次攻击,并且已经确定了全球大约1,600台ZCS服务器可能因此CVE而受到损害tar。 更糟糕的是,2022 年 10 月 7 日,针对此问题的 PoC 漏洞利用代码已添加到 Metasploit 框架中。
以下是Kaspersky所述利用过程: 攻击者发送带有恶意Tar存档附件的电子邮件tar。
Zimbra收到电子邮件后,将其提交给Amavis进行垃圾邮件和恶意软件检查tar。Amavis分析电子邮件附件并检查所附加存档的内容,并调用cpio进而触发 CVE-2015-1197。
在提取过程中,JSP webshell被部署在Web邮件组件使用的公共目录之一tar。攻击者可以浏览Webshell以开始在受害的计算机上执行任意命令。 Kaspersky观察到了针对此漏洞的连续两波攻击。第一波发生在9月初,针对的是亚洲政府目标。
第二个自9月30日开始,范围更大,针对的是部分中亚国家的所有易受攻击的服务器tar。 Kaspersky发布的帖子中写道:“现在Metasploit已经添加了概念验证,我们预计第三波浪潮即将开始,可能将勒索软件作为终极目标”。 Kaspersky还分享了威胁指标,包括为利用 CVE-2022-41352 漏洞而部署的 webshell 的已知位置路径。 为解决此漏洞,Zimbra发布了版本 9.0.0 P27,并提供手动缓解措施,来阻止CVE-2022-41352漏洞的成功利用。
参考链接