近 900 台服务器被利用一个关键的 Zimbra Collaboration Suite (ZCS) 漏洞入侵,当时该漏洞是近 1.5 个月没有补丁的零日漏洞。
被跟踪为 CVE-2022-41352 的漏洞是一个远程代码执行漏洞,它允许攻击者发送带有恶意存档附件的电子邮件,该附件在 ZCS 服务器中植入一个 web shell,同时绕过防病毒检查。
据网络安全公司 卡巴斯基称,在Zimbra 论坛上报告该漏洞后不久,各种 APT(高级持续威胁)组织就积极利用了该漏洞 。
卡巴斯基告诉 BleepingComputer,在该漏洞被广泛宣传并收到CVE 标识符之前,他们检测到至少有 876 台服务器被老练的攻击者利用该漏洞入侵 。
受到积极利用
上周,Rapid7 报告警告CVE-2022-41352 的积极利用,并敦促管理员应用可用的变通办法,因为当时没有安全更新。
同一天,在 Metasploit 框架中添加了概念验证(PoC),即使是低技能的黑客也可以对易受攻击的服务器发起有效的攻击。
Zimbra 此后 发布了 ZCS 版本 9.0.0 P27 的安全修复程序 ,用 Pax 替换易受攻击的组件 (cpio) 并删除了使利用成为可能的薄弱部分。
然而,此时利用已经加快了步伐,许多威胁行为者已经开始发动机会性攻击。
Volexity 昨天报道称,其分析师已经确定了大约 1,600 台 ZCS 服务器,他们认为这些服务器受到了利用 CVE-2022-41352 植入 webshell 的威胁行为者的攻击。
被高级黑客组织使用
在与网络安全公司卡巴斯基的私下交谈中,BleepingComputer 被告知,一个利用该关键漏洞的未知 APT 很可能根据发布到 Zimbra 论坛的信息拼凑出一个有效的漏洞利用程序。
第一次攻击始于 9 月,针对印度和土耳其的一些易受攻击的 Zimbra 服务器。最初的攻击浪潮可能是针对低兴趣目标的测试浪潮,以评估攻击的有效性。
然而,卡巴斯基评估称,攻击者在第一波攻击中入侵了 44 台服务器。
漏洞一经公开,威胁行为者就换档并开始执行大规模定位,希望在管理员修补系统并关闭入侵者之门之前破坏全球尽可能多的服务器。
第二波影响更大,用恶意 webshell 感染了 832 台服务器,尽管这些攻击比之前的攻击更加随机。
尚未应用可用 Zimbra 安全更新或变通办法的 ZCS 管理员需要立即这样做,因为利用活动处于高速发展状态,并且可能在一段时间内不会停止。
