Zimbra Collaboration Suite miał lukę zero-day przez ponad miesiąc, zapewniając hakerom prawdziwy dzień pracy, w wyniku którego zhakowano prawie 900 serwerów (otwiera się w nowej karcie).
Badacze z firmy Kaspersky zauważyli lukę zgłoszoną na forum Zimbra, po czym różnego rodzaju grupy Advanced Persistent Threat (APT) wykorzystały ją do złamania zabezpieczeń niezliczonych serwerów.
Kaspersky nazwał tę lukę luką umożliwiającą zdalne wykonanie kodu, która umożliwia hakerom wysłanie wiadomości e-mail zawierającej szkodliwy plik, który implementuje powłokę internetową na serwerze Zimbra bez wyzwalania alarmu antywirusowego. Jest teraz śledzony jako CVE-2022-41352. Niektórzy badacze twierdzą, że w wyniku tego zostało skompromitowanych aż 1.600 serwerów.
emerytowany CPIO
Badacze powiedzieli później, że co najmniej 876 serwerów zostało zhakowanych, zanim udostępniono obejście i opublikowano poprawkę. Jednak prawie dwa miesiące po wstępnym raporcie i gdy Zimbra miała wydać łatkę, Volexity powiedział, że skompromitowano około 1600 serwerów.
Zimbra następnie wydała łatkę, przenosząc pakiet współpracy (otwiera się w nowej karcie) do wersji 9.0.0 P27. W nim firma wymieniła wadliwy komponent (cpio) na Pax i usunęła kod, który można wykorzystać.
Pierwsze ataki rozpoczęły się we wrześniu 2022 roku i wymierzone były w serwery w Indiach i Turcji. Kilka pierwszych nalotów przeprowadzono na cele „małego zainteresowania”, co doprowadziło badaczy do wniosku, że hakerzy tylko testowali możliwości luki, zanim przeszli do bardziej lukratywnych celów. Jednak po publicznym ujawnieniu luki cyberprzestępcy przyspieszyli tempo, aby wykorzystać ją w jak największym stopniu, zanim Zimbra wypuściła łatkę.
Administratorom systemu, którzy nie są w stanie natychmiast zastosować łaty, zaleca się przynajmniej próbę zainstalowania obejścia, ponieważ liczba złośliwych cyberprzestępców aktywnie wykorzystujących lukę na wolności pozostaje wysoka.
Przez: BleepingComputer (Otwiera się w nowej karcie)