CISA警告:Zimbra RCE 漏洞正被積極利用
美國網絡安全和基礎設施安全局(CISA)在其“已知利用漏洞目錄”中,增加了CVE-2022-27925漏洞和CVE-2022-37042漏洞。這兩個高危漏洞和Zimbra Collaboration中的缺陷有關,CISA警告稱,有證據表明這些漏洞被積極、大規模利用。
漏洞影響
這兩個漏洞都可以鏈接在受影響的電子郵件服務器上,實現未經身份驗證的遠程代碼執行。
1、漏洞CVE-2022-27925(CVSS評分:7.2) – 認證用戶通過mboximport遠程代碼執行(RCE)(在3月份發布的版本8.8.15補丁31和9.0.0補丁24中修復)
2、漏洞CVE-2022-37042 – MailboxImportServlet中的身份驗證繞過(在 8 月發布的版本8.8.15補丁33和9.0.0補丁26中修復)
Zimbra警告說,如果用戶運行的Zimbra版本早于Zimbra 8.8.15補丁33或Zimbra 9.0.0補丁26,那么受影響的用戶應該盡快更新補丁。
關于利用這些漏洞進行攻擊的信息,CISA方面并沒有透露。但是,網絡安全公司Volexity描述了一個未知黑客大規模地利用Zimbra實例。簡單來說,這些攻擊涉及利用上述的身份驗證繞過漏洞,通過上傳任意文件在底層服務器上獲得遠程代碼執行。
Volexity表示,在訪問CVE-2022-27925使用的同一端點(mboximport)時,有可能繞過身份驗證,在沒有有效管理憑據的情況下,該漏洞可以被利用,從而提高了該漏洞的嚴重性。
同時,它還列舉了全球1000多個使用該攻擊向量進行后門攻擊和破壞的實例,其中一些屬于政府部門和部委、軍事部門以及擁有數十億美元收入的公司。這些攻擊發生在2022年6月底,還涉及部署web shell來保持對受感染服務器的長期訪問。損害最大的國家有:美國、意大利、德國、法國、印度、俄羅斯、印度尼西亞、瑞士、西班牙和波蘭。
Volexity說,CVE-2022-27925最初被列為需要身份驗證的RCE漏洞,當與一個單獨的漏洞結合使用時,它變成了一個未經驗證的RCE漏洞,從而使遠程利用攻擊變得微不足道。
漏洞會帶來很多危害,可能會導致數據信息泄露,還可能會被攻擊者利用進行攻擊,篡改系統管理賬戶,篡改網頁進行網站掛馬等等。為了防止漏洞被不法分子利用,受漏洞影響的用戶應該盡快更新安裝新補丁,保護好網絡安全,避免因為網絡攻擊造成不必要的損失。
