威胁行为者利用Zimbra CVE – 2022 – 41352漏洞入侵了数百台服务器

上周，Rapid7的研究人员在Zimbra协作套件中警告未修补的零日远程代码执行漏洞被利用，被追踪为CVE – 2022 – 41352。

 Rapid7发布了技术细节，包括关于AttackerKB的CVE – 2022 – 41352的概念验证( PoC )代码和折衷指标( IoC )。

坏消息是该漏洞尚未被公司修补，该问题已被评为CVSS 9.8 ‘。CVE- 2022- 41352是Zimbra协作套件中的一个未修补的远程代码执行漏洞，该漏洞是在公共平台发现的。该漏洞是由于Zimbra的防病毒引擎( Amavis )扫描入站电子邮件的方法( cpio )造成的。Zimbra提供了一个解决方法，即安装pax实用程序并重新启动Zimbra服务。注意pax是默认安装在Ubuntu上的，所以基于Ubuntu的Zimbra安装在默认情况下是不容易受到攻击的。

专家指出，该漏洞是由于Zimbra的防病毒引擎( Amavis )扫描入站电子邮件时使用的方法( cpio )造成的。

据Zimbra用户介绍，该漏洞自2020年9月初开始被利用。威胁参与者正在利用这个问题，通过发送带有恶意附件的电子邮件，将jsp文件上传到Web Client / public目录。

一位用户在Zimbra论坛上写道：”我们发生了一起事件，攻击者通过发送带有恶意附件的电子邮件，成功将jsp文件上传到Web Client / public目录。”

卡巴斯基的研究人员对这些袭击事件进行了调查，并证实了未知的APT团体一直在积极利用CVE – 2022 – 41352在野外的缺陷。一个威胁行为体系统性地感染中亚所有脆弱的服务器。

Volexity的研究人员也正在调查探索这一缺陷的攻击，并且已经在全世界范围内发现了大约1，600个ZCS服务器，这些服务器可能由于这种CVE而受到威胁。

更糟糕的是，2022年10月7日，Metasploit框架中添加了针对此问题的PoC利用代码。

下面是卡巴斯基所描述的过程：

1.攻击者会发送包含恶意Tar存档的电子邮件。

2.在收到电子邮件时，Zimbra将其提交给Amavis进行垃圾邮件和恶意软件检查。

3.阿玛维斯对电子邮件附件进行分析，并对所附存档内容进行检查。它调用cpio并触发CVE – 2015 – 1197。

4.在抽取过程中，将JSP webshell部署在webmail邮件组件使用的一个公共目录上。攻击者可以浏览到webshell，开始在受害机器上执行任意命令。

卡巴斯基观察到两个连续的攻击波针对这个问题。第一波是针对性质的，发生在9月初，针对亚洲的政府目标。

第二次是在9月30日开始的，规模更大，目标是位于一些中亚国家的任何弱势服务器。既然Metasploit增加了概念证明，我们预期第三次浪潮即将开始，这次很可能以勒索软件为终极目标。

卡巴斯基也分享了妥协的指标，包括为利用CVE – 2022 – 41352缺陷而部署的webshell的已知位置的路径。

  Zimbra发布了9.0 . 0 P27版本来解决这一问题，并提供了手动缓解，以防止CVE – 2022 – 41352缺陷的成功利用。