内存安全周报第113期 | 威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
威胁者利用Zimbra的CVE-2022-41352 漏洞入侵了数百台服务器。(10.16)
威胁者已经利用Zimbra Collaboration Suite(ZCS)中的关键漏洞CVE-2022-41352破坏了数百台服务器。
详细情况
上周,Rapid7的研究人员警告说,在Zimbra Collaboration Suite中未被修补的零日远程代码执行漏洞被利用,该漏洞编号为CVE-2022-41352。
Rapid7 已在 AttackerKB 上发布了有关 CVE-2022-41352 的技术细节,包括概念验证 (PoC) 代码和威胁指标 (IoC)。
但有个坏消息:该公司尚未修补该漏洞,该漏洞CVSS得分9.8。
Rapid7报道说“CVE-2022-41352 是 Zimbra Collaboration Suite 中一个未修补的远程代码执行漏洞,由于在野利用被发现。 ”“该漏洞是Zimbra的防病毒引擎(Amavis)扫描入站电子邮件的方法(cpio)造成的。 Zimbra 提供了一个解决方案,即安装pax程序并重新启动Zimbra服务。 需要特别注意的是:pax默认安装在Ubuntu上,因此默认安装在Ubuntu的Zimbra不容易受到攻击。
专家指出,该漏洞是Zimbra的防病毒引擎(Amavis)用来扫描入站电子邮件的方法(cpio)方法造成的。
据Zimbra用户表示,该漏洞自2020年9月初就一直被积极利用。威胁者通过简单地发送带有恶意附件的电子邮件就能将jsp文件上传到Web Client/Public目录中就可以利用该漏洞。
一位用户在Zimbra论坛上写道:“攻击者仅需设法发送带有恶意附件的电子邮件将jsp文件上传到Web Client/public目录中,我们就会遭到攻击。”
Kaspersky研究人员调查了这些攻击后证实:来路不明的APT组织一直在野外积极利用CVE-2022-41352漏洞。一个威胁者感染中亚所有易受攻击的服务器系统。
Volexity研究人员也在研究这个漏洞以调查此次攻击,并且已经确定了全球大约1,600台ZCS服务器可能因此CVE而受到损害。
更糟糕的是,2022 年 10 月 7 日,针对此问题的 PoC 漏洞利用代码已添加到 Metasploit 框架中。
以下是Kaspersky所述利用过程:
攻击者发送带有恶意Tar存档附件的电子邮件。
Zimbra收到电子邮件后,将其提交给Amavis进行垃圾邮件和恶意软件检查。
Amavis分析电子邮件附件并检查所附加存档的内容,并调用cpio进而触发 CVE-2015-1197。
在提取过程中,JSP webshell被部署在Web邮件组件使用的公共目录之一。攻击者可以浏览Webshell以开始在受害的计算机上执行任意命令。
Kaspersky观察到了针对此漏洞的连续两波攻击。第一波发生在9月初,针对的是亚洲政府目标。
第二个自9月30日开始,范围更大,针对的是部分中亚国家的所有易受攻击的服务器。
Kaspersky发布的帖子中写道:“现在Metasploit已经添加了概念验证,我们预计第三波浪潮即将开始,可能将勒索软件作为终极目标”。
Kaspersky还分享了威胁指标,包括为利用 CVE-2022-41352 漏洞而部署的 webshell 的已知位置路径。
为解决此漏洞,Zimbra发布了版本 9.0.0 P27,并提供手动缓解措施,来阻止CVE-2022-41352漏洞的成功利用。
参考链接
