As organizações que não corrigiram imediatamente seus sistemas de e-mail Zimbra devem presumir que os criminosos já encontraram e exploraram os bugs e devem começar a caçar atividades maliciosas nas redes de TI, de acordo com o Tio Sam.
Em um alerta de segurança atualizado na segunda-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA e o Centro de Análise e Compartilhamento de Informações Multi-Estado (MS-ISAC) alertaram que os cibercriminosos estão explorando ativamente cinco vulnerabilidades no Zimbra Collaboration Suite (ZCS) para invadir redes governamentais e do setor privado. As agências forneceram novas assinaturas de detecção para ajudar os administradores a identificar invasores que abusam dessas falhas.
O fabricante de software emitiu patches para todas as cinco falhas, começando em maio e com o mais recente sendo lançado em final de julho.
Zimbra é uma plataforma de e-mail e colaboração que afirma alimentar “centenas de milhões de caixas de correio em 140 países.”
Os cinco CVE Os bugs listados que estão sendo explorados incluem o CVE-2022-27924, que o Zimbra corrigiu em maio e recebeu uma pontuação CVSS de 7,5 de 10. Esse bug de alta gravidade pode ser usado por um usuário não autenticado para roubar credenciais de conta de e-mail em formato de texto simples sem interação do usuário.
Os pesquisadores de segurança da SonarSource descobriram a falha em março e publicaram um relatório detalhado análise técnica que explicava como um invasor poderia injetar comandos memcache arbitrários em uma instância de destino, causando uma substituição de entradas arbitrárias em cache, permitindo que eles roubassem credenciais de conta.
Em junho, o setor de segurança publicamente lançou explorações de prova de conceito (POC) para esta vulnerabilidade. “Devido ao POC e à facilidade de exploração, o CISA e o MS-ISAC esperam ver a exploração generalizada de instâncias ZCS não corrigidas em redes governamentais e privadas”, alertaram os federais. vulnerabilidade de gravidade, CVE-2022-27925, que também recebeu uma classificação de 7,4 CVSS, pode permitir que um usuário autenticado com privilégios de administrador carregue arquivos arbitrários, levando à travessia de diretório. Quando combinado com o CVE-2022-37042, o CVE-2022-27925 pode ser explorado sem credenciais administrativas válidas, de acordo com pesquisadores da Volexity, que relataram que mais de 1.000 servidores de e-mail Zimbra foram comprometidos em ataques encadeando as duas vulnerabilidades.
Outros grandes problemas encontrados
CVE-2022-37042 é uma vulnerabilidade crítica de desvio de autenticação remota que recebeu uma classificação de 9,8 CVSS. O Zimbra lançou correções para esses dois bugs no final de julho.
CVE-2022-30333 é uma falha de alta gravidade com classificação 7.5 no RARLAB UnRAR, usado pelo Zimbra, antes de 6.12 no Linux e Unix -sistemas com sabor que permite que criminosos gravem em arquivos durante uma operação de extração.
“No caso do Zimbra, a exploração bem-sucedida dá a um invasor acesso a todos os e-mails enviados e recebidos em um servidor de e-mail comprometido. usuários”, de acordo com a SonarSource, que descobriu o bug. “Com esse acesso, é provável que eles possam escalar seu acesso para serviços internos ainda mais sensíveis de uma organização.”
Para corrigir este problema, o Zimbra fez alterações na configuração para usar o programa 7zip em vez do UnRAR.
Nos disseram que um canalha está vendendo um kit de exploração para CVE-2022-30333, e há também um módulo Metasploit que cria um arquivo RAR, que pode ser enviado por e-mail para um servidor Zimbra para explorar essa falha.
Google, Apple squash bugs de navegador exploráveis Aviso! Falhas críticas encontradas no sistema de alerta de emergência dos EUA VMware corrige bug crítico de desvio de autenticação ‘torna-me administrador’, além de outras nove falhas
Atlassian revela falhas críticas em quase tudo que faz e toca
A quinta vulnerabilidade conhecida do Zimbra sob exploração ativa, CVE-2022-24682, é um bug de script entre sites de gravidade média que permite que criminosos roubem arquivos de cookie de sessão. O Volexity descobriu este também, e o Zimbra o corrigiu em fevereiro.
Em seu comunicado, a CISA recomenda que as equipes de segurança “especialmente em organizações que não atualizaram imediatamente suas instâncias ZCS após o lançamento do patch” pesquisem para quaisquer sinais de atividade maliciosa usando um punhado de assinaturas de detecção de terceiros.
Isso inclui o seguinte indicador de comprometimento: conexões de ou para 207.148.76 235, que é um domínio de comando e controle Cobalt Strike.
Também na segunda-feira, a CISA atualizou o aviso com novas assinaturas de snort que as empresas podem implantar para detectar sinais de cibercriminosos em sua rede.
E, finalmente, os federais sugerem a implantação de regras YARA de terceiros para detectar potenciais webshells.
