Zimbra在其协作套件中为主动利用的漏洞发布修补程序

Zimbra发布了补丁，以包含其企业协作套件中可利用的主动利用的安全漏洞，该漏洞可用于将任意文件上载到易受攻击的实例。

该问题被追踪为CVE – 2022 – 41352 ( CVSS评分: 9.8分)，影响了Zimbra套件的一个组件Amavis，一个开源内容过滤器，更具体地说，影响了它用来扫描和提取档案的cpio工具。

该漏洞反过来被认为根源于另一个底层漏洞( CVE-2015-1197)，该漏洞在2015年初首次被披露，根据闪点的说法，该漏洞被纠正，但随后在后来的Linux发行版中被恢复。

 Zimbra在上周发布的一份公告中说，攻击者可以使用cpio包获得对任何其他用户帐户的不正确访问，并补充说”推荐pax over cpio “。

以下版本均有说明：

 Zimbra 9.0.0补丁27

 Zimbra 8.8.15补丁34

所有寻求将缺陷武器化的对手都需要发送一封带有巧尽心思构建的TAR存档附件的电子邮件，该附件在收到后被提交给Amavis，Amavis使用cpio模块触发漏洞利用。

网络安全公司卡巴斯基披露，未知的APT团体一直在积极利用野生的缺陷，其中一个行为者”系统地感染了中亚的所有脆弱的服务器”。

这些袭击在9月上旬和下旬的两次袭击浪潮中展开，主要针对该地区的政府实体，滥用最初的立足点，在受损的服务器上投掷网络炮弹，以便开展后续活动。

根据事件响应公司Volexity共享的信息，估计约有1，600个Zimbra服务器被感染，被称为”目标和机会攻击的组合”。

一些web shell路径[ .. ]被用于有针对性地(可能是APT )利用政府、电信和IT领域的关键组织，主要是在亚洲；该公司在一系列的tweet中表示，其他公司被用于大规模的全球开采。