威胁参与者正在利用身份验证绕过 Zimbra 漏洞(跟踪为 CVE-2022-27925)入侵全球 Zimbra Collaboration Suite 电子邮件服务器。
一种影响 Zimbra Collaboration Suite 的身份验证绕过,被跟踪为 CVE-2022-27925,被积极利用来入侵全球的 ZCS 电子邮件服务器。
Zimbra 是一个电子邮件和协作平台,被来自 140 多个国家/地区的 200,000 多家企业使用。
昨天,8 月 11 日,CISA根据主动利用的证据,在其 已知利用漏洞目录中添加了两个新漏洞。这两个问题是:
- CVE-2022-27925 (CVSS 分数:7.2)– Zimbra Collaboration (ZCS) 任意文件上传漏洞:Zimbra Collaboration (ZCS) 包含 mboximport 功能中的缺陷,允许经过身份验证的攻击者上传任意文件以执行远程代码执行。此漏洞与 CVE-2022-37042 相关联,允许未经身份验证的远程代码执行。
- CVE-2022-37042 – Zimbra Collaboration (ZCS) 身份验证绕过漏洞:Zimbra Collaboration (ZCS) 在 MailboxImportServlet 中包含身份验证绕过漏洞。此漏洞与 CVE-2022-27925 相关联,允许未经身份验证的远程代码执行。
CISA 命令联邦机构在 2022 年 8 月 25 日之前解决这两个问题。
该供应商已经发布了安全更新来解决这两个漏洞。
网络安全公司 Volexity 证实,该漏洞在野外攻击中被积极利用。
在 2022 年 7 月和 8 月初,该公司处理了多起事件,其中组织的Zimbra Collaboration Suite (ZCS) 电子邮件服务器遭到入侵。Volexity 发现威胁参与者在这些攻击中利用了CVE-2022-27925远程代码执行 (RCE) 漏洞。
该漏洞已于 2022 年 3 月修复,自发布安全修复程序以来,威胁行为者对其进行逆向工程并开发利用代码是合理的。
“随着每项调查的进行,Volexity 发现了远程利用的迹象,但没有证据表明攻击者拥有利用它所需的先决条件经过身份验证的管理会话。此外,在大多数情况下,Volexity 认为远程攻击者极不可能获得受害者 ZCS 电子邮件服务器的管理凭据。” 阅读Volexity发布的公告。
“由于上述发现,Volexity 启动了更多研究,以确定利用 CVE-2022-27925 的方法,以及是否可以在没有经过身份验证的管理会话的情况下这样做。Volexity 的后续测试确定在访问mboximportCVE-2022-27925 使用的同一端点 () 时可以绕过身份验证。这意味着 CVE-2022-27925 可以在 没有 有效管理凭据的情况下被利用,从而使漏洞的严重性显着增加。” 阅读Volexity 发布的帖子。
Volexity 研究人员在互联网上扫描了属于非 Volexity 客户的受损 Zimbra 实例。这家安全公司在全球范围内发现了超过 1,000 个被后门入侵的 ZCS 实例。受损的 ZCS 安装属于各种全球组织,包括政府部门和部委、军事部门、全球亿万富翁企业和大量小型企业。
受影响最严重的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。
“CVE-2022-27925 最初被列为需要身份验证的 RCE 漏洞。然而,当与一个单独的错误结合使用时,它变成了一个未经身份验证的 RCE 漏洞利用,使得远程利用变得微不足道。一些组织可能会根据安全问题的严重性优先考虑修补。在这种情况下,该漏洞被列为中等——不是高或严重——这可能导致一些组织推迟修补。” 结束这篇文章。
几天前,CISA在其已知被利用漏洞目录中添加了最近披露的 Zimbra 电子邮件套件中的一个漏洞,跟踪为 CVE-2022-27924。
6 月中旬,Sonarsource 的研究人员发现了影响 Zimbra 电子邮件套件的高严重性漏洞,该漏洞被跟踪为 CVE-2022-27924 (CVSS 评分:7.5)。未经身份验证的攻击者可以利用它来窃取用户的登录凭据,而无需用户交互。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 专家警告大规模利用 Zimbra Collaboration Suite 中的 RCE 漏洞
