Zimbra認證繞過漏洞成功入侵超過1000臺服務器

Zimbra是一套郵箱和協同辦公平臺，包括WebMail，日歷，通信錄，Web文檔管理等功能，有140個國家的超過20萬企業使用，其中包括超過1000個政府和金融機構。

CVE-2022-27925漏洞

Volexity研究人員發現了一個Zimbra認證繞過漏洞（CVE-2022-27925）被用于攻擊Zimbra Collaboration Suite (ZCS)郵箱服務器。在調查一起Zimbra郵件服務器入侵事件過程中，Volexity發現ZCS遠程利用是根本原因。檢查入侵服務器的web日志發現，漏洞利用預之前寫入webshell到硬盤的漏洞是一致的。示例web日志記錄如下所示：

檢查MailboxImport servlet源碼發現，url訪問時會調用“doPost”函數，會檢查用戶是否經過認證，如下圖所示：

代碼的問題是對認證進行了檢查，也設置了錯誤信息，但是并沒有return描述。也就是說之后的代碼會繼續執行，與用戶的認證狀態無關。利用該函數，攻擊者只需要在URL中設置正確的參數就可以利用該漏洞。

受影響的版本

受影響的版本包括：

· Zimbra 8.8.15

· Zimbra 9.0.0

在野漏洞利用

Volexity 發現攻擊者濫用該漏洞的過程中結合了另一個認證繞過漏洞（CVE-2022-37042）。研究人員認為該漏洞與2021年初發現的微軟Exchange 0-day漏洞利用基本一致。最初的時候只是被情報監控相關的攻擊者利用，但之后被大規模利用。攻擊者成功利用該漏洞可以在被入侵的服務器的特定位置部署web shell以實現駐留。

CISA在11日已經確認了這兩個安全漏洞的在野利用。通過掃描發現，目前有超過1000臺服務器存在后門或已經被入侵。涉及政府機關、軍事結構、收入數十億的跨國公司。由于掃描shell路徑的限制，預計被入侵的服務器數量更多。

安全補丁

Volexity稱，如果有漏洞的服務器在5月底前沒有修復CVE-2022-27925漏洞，那就可以認為ZCS實例已經被入侵了，包括郵件內容在內的所有內容都可能被竊了。

研究人員建議對可能的入侵事件進行分析，并使用最新的補丁重構ZCS實例。