可用

研究人员警告称,Zimbra RCE 漏洞被大规模利用

  • 浏览次数 18457
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

zimbra

周四,美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞,称有证据表明这些漏洞被积极利用。

这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关,这两个漏洞都可以链接在受影响的电子邮件服务器上,实现未经身份验证的远程代码执行。

  1. CVE-2022-27925(CVSS评分:7.2) – 认证用户通过mboximport远程代码执行(RCE)(在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复)
  2. CVE-2022-37042 – MailboxImportServlet中的身份验证绕过(在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复)

“如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26,你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。

CISA没有透露任何有关利用这些漏洞进行攻击的信息,但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。

简而言之,这些攻击涉及利用上述身份验证绕过漏洞,通过上传任意文件在底层服务器上获得远程代码执行。

微信截图_20220812154650

Volexity表示:“在访问CVE-2022-27925使用的同一端点(mboximport)时,有可能绕过身份验证,并且该漏洞可以在没有有效管理凭据的情况下被利用,从而大大提高了该漏洞的严重性。”

它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例,其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。

这些攻击发生在2022年6月底,还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。

Volexity说:“CVE-2022-27925最初被列为需要身份验证的RCE漏洞,然而,当与一个单独的漏洞结合使用时,它变成了一个未经验证的RCE漏洞,从而使远程利用攻击变得微不足道。”

一周前,CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924,如果被利用,攻击者可能会从目标实例的用户那里窃取明文凭据。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文