الفئة: استخبارات الخصمالصناعة: تكنولوجيا المعلومات والتكنولوجياالمنطقة: الشرق الأوسطمصدر*: C3

ملخص تنفيذي

تهديدتأثيرتخفيف

• تمت مشاركة وصول قشرة الويب إلى خدمة بريد الويب التي تدعمها Zimbra من Bamboozle عبر منتدى الجرائم الإلكترونية.
• تم استغلال ثغرة ZCS المحتملة للوصول.

• يمكن أن تتأثر جميع رسائل البريد الإلكتروني الداخلية وخدمات الويب.
• يمكن أن يؤدي الوصول إلى تسريب بيانات الاعتماد وقواعد البيانات والمعلومات الهامة الأخرى.

• قم بتحديث ZCS إلى التصحيحات التالية:
  • 9.0.0P26
  • 8.8.15 ص 33

التحليل والإسناد

معلومات من البريد

• كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف أحد عوامل التهديد، حيث شارك الوصول إلى خادم الويب الداخلي لشركة Bamboozle، المزود الرائد لخدمات السحابة وتكنولوجيا المعلومات في الإمارات العربية المتحدة.
• تمت مشاركة المعلومات التالية:
  • وصول مجاني إلى شركة في الشرق الأوسط لإدارة السحابة والVM.
  • يتم توفير الوصول إلى Web shell للتحكم في خادم صندوق البريد بأكمله.
  • رابط عنوان URL الخاص بقشرة الويب: https [:] //البريد [.] bamboozlewebservices [.] com/zimbraadmin/cmd [.] jsp؟ cmd=echo+بريتشد.co

[معرف التسمية التوضيحية = «المرفق _21510" aligncenter «العرض ="1405"] مشاركة Threat Actor في منتدى الجرائم الإلكترونية [/caption]

التكتيكات والتقنيات والإجراءات (TTPs)

• خدمة بريد URL، بامبوزل ريل ميل، مدعوم من مجموعة زيمبرا للتعاون (ZCS). نظرًا لأن Bamboozle يوفر خدمة RealMail، فمن المعقول افتراض استخدام الخدمة للاتصال الداخلي أيضًا.
• ربما استغل ممثل التهديد أحد CVEs التالية للحصول على الوصول المزعوم:
  • CVE-2022-27925 تم الكشف عنها بواسطة Zimbra في 10 مايو 2022، باعتبارها ثغرة أمنية مصدقة لاجتياز الدليل. سمحت هذه الثغرة للمهاجمين باستغلال خوادم البريد الإلكتروني ZCS لمؤسسات متعددة دون الوصول المصدق إلى مثيلات ZCS.
  • تم تعيين اجتياز دليل تجاوز المصادقة وثغرة RCE CVE-2022-37042 مع VSS V3 درجة 9.8، حيث كان من الممكن تجاوز المصادقة، مما أدى إلى اختراق العديد من خوادم ZCS بدورها وخلفها. (لمزيد من المعلومات، اقرأ CloudSek استشارة)

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديدنشط منذ أغسطس 2022 متوسط السمعة (عدد قليل من الشكاوى والمخاوف في المنتدى) الحالة الحالية التاريخ النشط غير معروف التصنيف C3 (C: موثوق إلى حد ما؛ 3: ربما صحيح)

التأثير والتخفيف

التأثيرالتخفيف

• يتيح الاستغلال الناجح للمهاجم الوصول إلى كل بريد إلكتروني يتم إرساله واستلامه على خادم بريد إلكتروني مخترق.
• يمكن استغلال الوصول أعلاه لـ
  • سرقة بيانات اعتماد المستخدم
  • تصعيد الامتيازات
  • تثبيت الأبواب الخلفية

• قم بتحديث برنامج Zimbra Collaboration Suite إلى الإصدارات المصححة التالية:
  • 9.0.0P26
  • 8.8.15 ص 33

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا
• https://bamboozle.at/enterprise-collaboration/business-email/
• تم استغلال مجموعة Zimbra للتعاون بشكل نشط عبر ثغرة تجاوز المصادقة CVE-2022-37042
• الاستغلال الجماعي لـ Zimbra RCE المصدق عليه (غير): CVE-2022-27925 | Volexity

[معرف التسمية التوضيحية = «المرفق _21511" align= «alignnone» width="1312"] يتم تشغيل خدمة بريد Bamboozle بواسطة شركة Zimbra Enterprise Collaboration [/caption]