CISA警告:Zimbra RCE 漏洞正被积极利用
美国网络安全和基础设施安全局(CISA)在其“已知利用漏洞目录”中,增加了CVE-2022-27925漏洞和CVE-2022-37042漏洞。这两个高危漏洞和Zimbra Collaboration中的缺陷有关,CISA警告称,有证据表明这些漏洞被积极、大规模利用。
漏洞影响
这两个漏洞都可以链接在受影响的电子邮件服务器上,实现未经身份验证的远程代码执行。
1、漏洞CVE-2022-27925(CVSS评分:7.2) – 认证用户通过mboximport远程代码执行(RCE)(在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复)
2、漏洞CVE-2022-37042 – MailboxImportServlet中的身份验证绕过(在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复)
Zimbra警告说,如果用户运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26,那么受影响的用户应该尽快更新补丁。
关于利用这些漏洞进行攻击的信息,CISA方面并没有透露。但是,网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。简单来说,这些攻击涉及利用上述的身份验证绕过漏洞,通过上传任意文件在底层服务器上获得远程代码执行。
Volexity表示,在访问CVE-2022-27925使用的同一端点(mboximport)时,有可能绕过身份验证,在没有有效管理凭据的情况下,该漏洞可以被利用,从而提高了该漏洞的严重性。
同时,它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例,其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。这些攻击发生在2022年6月底,还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家有:美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。
Volexity说,CVE-2022-27925最初被列为需要身份验证的RCE漏洞,当与一个单独的漏洞结合使用时,它变成了一个未经验证的RCE漏洞,从而使远程利用攻击变得微不足道。
漏洞会带来很多危害,可能会导致数据信息泄露,还可能会被攻击者利用进行攻击,篡改系统管理账户,篡改网页进行网站挂马等等。为了防止漏洞被不法分子利用,受漏洞影响的用户应该尽快更新安装新补丁,保护好网络安全,避免因为网络攻击造成不必要的损失。
