🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

تحليل شامل لثغرة زيمبرا CVE-2022-30333

يتم استغلال ثغرة RCE في خوادم بريد الويب Zimbra بنشاط لاستهداف منظمات متعددة في جميع أنحاء العالم. تم استخدام الاستغلال لإطلاق حملة تصيد ضد أوروبا.
تم التحديث بتاريخ
April 15, 2026
تم النشر في
August 11, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-30333السيرة الذاتية: 3.0 النتيجة: 7.5

ملخص تنفيذي

تهديدتأثيرتخفيف
  • يتم استغلال ثغرة RCE في خوادم بريد الويب Zimbra بنشاط لاستهداف منظمات متعددة في جميع أنحاء العالم.
  • تم استخدام الاستغلال لإطلاق حملة تصيد ضد أوروبا.
  • سيتيح الاستغلال الناجح الوصول إلى كل بريد إلكتروني يتم إرساله واستلامه على الخادم المخترق.
  • يمكن استخدام بيانات الاعتماد المسروقة لمستخدمي المؤسسة لتصعيد الوصول وتثبيت الأبواب الخلفية.
  • قم بتحديث خوادم بريد الويب Zimbra إلى الإصدار الثنائي 6.12.
  • قم بإجراء تدريب لتوعية المستخدم ضد حملات التصيد الاحتيالي.

التحليل

  • كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر حدد العديد من الجهات الفاعلة في مجال التهديد التي تستغل CVE-2022-30333 لاستهداف خوادم بريد الويب Zimbra الضعيفة.
  • CVE-2022-30333 عبارة عن ملف اجتياز المسار ثغرة أمنية في ثنائي UnRAR الخاص بـ RarLab والتي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) على بريد الويب Zimbra وربما تؤثر على الآخرين.
  • Zimbra هي خدمة بريد ويب معروفة تستخدمها العديد من الشركات والمنظمات الحكومية، وبالتالي فإن الثغرة الأمنية تشكل خطرًا كبيرًا للاستغلال.
  • تتأثر UnRar 6.17 والإصدارات السابقة من البرنامج التالي بهذه الثغرة الأمنية:
  • تصحيح Zimbra 9.0.0 24 والإصدارات السابقة
  • زيمبرا 8.8.15 باتش 31 والإصدارات السابقة

معلومات من منتديات الجرائم الإلكترونية

  • لوحظ قدر كبير من الأحاديث في منتديات وقنوات الجرائم الإلكترونية بخصوص CVE-2022-30333.
  • شوهدت الجهات الفاعلة في مجال التهديد تبيع الثغرات الأمنية لهذه الثغرة الأمنية في 4,000 دولار أمريكي.
  • شوهدت جهات تهديد متعددة تنشر معلومات حول استغلال ثغرة Zimbra للوصول إلى خوادم البريد الحكومية.
[معرف التسمية التوضيحية = «المرفق _20314" aligncenter «العرض ="1027"]Sale of exploit for the Zimbra vulnerability on cybercrime forum بيع استغلال ثغرة زيمبرا في منتدى الجرائم الإلكترونية [/caption]

معلومات من OSINT

  • تعمل الجهات الفاعلة المتعددة في مجال التهديد بنشاط على استغلال ومشاركة نقاط الاتصال الخاصة بهذه الثغرة الأمنية.
  • تم استغلال CVE-2022-30333 لإطلاق حملة تصيد بالرمح بنجاح ضد الحكومة والوكالات الأوروبية.
  • يستخدم المهاجمون هذه الثغرة الأمنية لإرسال رسائل بريد إلكتروني وجذب الضحايا للنقر على روابط ضارة مصممة خصيصًا.
  • تم تنسيق رسائل البريد الإلكتروني المرسلة في حملة التصيد الاحتيالي بشكل متكرر على النحو التالي:
    • <firstname>_ <lastname><numbers>@outlook .com
    • <firstname><lastname><numbers>@outlook .com
  • وقد لوحظ ارتفاع كبير في عدد التغريدات التي تشير إلى CVE-2022-30333 خلال الشهر الماضي.
[معرف التسمية التوضيحية = «المرفق _20315" aligncenter «العرض = «788"]Rise in exploits using Zimbra vulnerability (Source: CVE STALKER) زيادة عمليات الاستغلال باستخدام ثغرة Zimbra (المصدر: CVE STALKER) [/caption]  

التفاصيل الفنية

  • يستخدم المهاجم أرشيفات RAR التي تم إنشاؤها بشكل ضار، والتي يمكن أن تحتوي على روابط رمزية تشير إلى خارج دليل الاستخراج، لإلغاء الإشارة إلى ملف ثانٍ.
  • تستخدم الجهات الفاعلة في مجال التهديد وظيفة دوس سلاش تونيكس () لتحويل الخطوط المائلة العكسية (\) إلى خطوط مائلة للأمام (/) لضمان إمكانية استخراج أرشيف RAR الذي تم إنشاؤه على Windows على نظام Unix.
  • يمنح الاستغلال الجهات الفاعلة في مجال التهديد حرية كتابة وقراءة ملف في أي مكان على نظام الضحية.

إثبات المفهوم (PoC)

  • مقتطف الشفرة التالي متاح للجمهور PoC (على GitHub) لـ CVE-2022-30333.
  • يوفر المهاجم هدفًا مع بعض بيانات الملف كإدخال.
  • يقوم الكود بإنشاء ملف .rar سيؤدي ذلك إلى استغلال الثغرة الأمنية واستخراج الملف إلى هذا الموقع.
[معرف التسمية التوضيحية = «المرفق _20316" aligncenter «العرض ="1504"]PoC for the Zimbra vulnerability PoC لثغرة زيمبرا [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • يتيح الاستغلال الناجح للمهاجم الوصول إلى كل بريد إلكتروني يتم إرساله واستلامه على خادم بريد إلكتروني مخترق.
  • يمكن استغلال الوصول أعلاه لـ
    • سرقة بيانات اعتماد المستخدم
    • تصعيد الامتيازات
    • تثبيت الأبواب الخلفية
  • قم بتحديث خوادم بريد الويب Zimbra إلى الإصدار الثنائي 6.12.
  • يجب إجراء تدريب لتوعية المستخدم للسماح للأفراد بالتمييز بين المجال الأصلي ونظيره الاحتيالي.

مؤشرات التسوية (IOCs)

استنادًا إلى حملة التصيد الاحتيالي التي تستغل ثغرة Zimbra، فيما يلي IOCs. البريد الإلكتروني<firstname>_ <lastname><numbers>@outlook .com <firstname><lastname><numbers>@outlook .comعناوين URLhxxp: //fireclaws.spiritfield [.] ga/ [اسم الملف] .jpeg؟ [عدد صحيح] hxxp: //feralrage.spiritfield [.] ga/ [اسم الملف] .jpeg؟ [عدد صحيح] hxxp: //oaksage.spiritfield [.] ga/ [اسم الملف] .jpeg؟ [عدد صحيح] hxxp: //claygolem.spiritfield [.] ga/ [اسم الملف] .jpeg؟ [عدد صحيح]عنوان IP108.160.133.32 172.86.75.158206.166.251.141 206.166.251.166البنية التحتيةفحص أمازون [.] راجع ذكاء الكدمات [.] ml دخول البراغي المشحون. حقل الروح [.] tkmail. الكدمات - الذكاء [.] ml تايجر سترايك. تدفق الرياح الجليدية [.] mlنطاق فرعيhxxps: //update.secretstep [.] tk/ [اسم الملف] .jpeg؟ u= [عدد صحيح] &t= [عدد صحيح ثاني]

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _20317" align= «alignnone» width="1181"]Zimbra Vulnerability exploited in order to get access to email accounts of government agencies تم استغلال ثغرة Zimbra من أجل الوصول إلى حسابات البريد الإلكتروني للوكالات الحكومية [/caption] [معرف التسمية التوضيحية = «المرفق _20318" aligncenter «العرض ="669"]A sample email used in the spear phishing campaign نموذج بريد إلكتروني يُستخدم في حملة التصيد بالرمح [/caption] [معرف التسمية التوضيحية = «المرفق _20319" aligncenter «العرض ="933"]DosSlashToUnix() function is used to exploit the vulnerability and bypass validation steps تُستخدم وظيفة dossLashToNix () لاستغلال الثغرة الأمنية وتجاوز خطوات التحقق من الصحة [/caption]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد