🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء البرامج الضارة

تم استغلال مجموعة Zimbra للتعاون بشكل نشط عبر ثغرة تجاوز المصادقة CVE-2022-37042

يتم استغلال ثغرة RCE في مجموعة Zimbra Collaboration Suite (ZCS) بنشاط في البرية.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
November 2, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-37042السيرة الذاتية: 3.0 النتيجة: 9.8

ملخص تنفيذي

تهديدتأثيرتخفيف
  • يتم استغلال ثغرة RCE في مجموعة Zimbra Collaboration Suite (ZCS) بنشاط في البرية.
  • تم إدراج الثغرة الأمنية في «كتالوج الثغرات الأمنية المعروفة المستغلة» الخاص بـ CISA.
  • يمكن أن تسمح الثغرة الأمنية للجهات الفاعلة في التهديد بالوصول الأولي إلى شبكة المؤسسة وإجراء المزيد من الاستغلال.
  • قم بتحديث ZCS إلى التصحيحات التالية:
    • 9.0.0P26
    • 8.8.15 ص 33

التحليل

  • في 10 مايو 2022، كشفت زيمبرا CVE-2022-27925 كثغرة أمنية في اجتياز الدليل المصدق.
  • تؤثر هذه الثغرة الأمنية على مجموعة Zimbra Collaboration Suite (ZCS) الإصدارين 8.8.15 و 9.0، اللذين يستخدمان استيراد ام بوكس وظيفة لتلقي أرشيفات ZIP واستخراج الملفات منها.
  • ومع ذلك، في 10 أغسطس 2022، أصدرت Volexity، وهي شركة للطب الشرعي السيبراني والاستجابة للحوادث، تقريرًا يفيد بأن هذه الثغرة الأمنية قد استخدمت لاستغلال خوادم البريد الإلكتروني ZCS لمؤسسات متعددة دون الوصول المصدق إلى مثيلات ZCS.
  • تم تعيين اجتياز دليل تجاوز المصادقة وثغرة RCE CVE-2022-37042 مع VSS V3 درجة 9.8.
  • CVE-2022-37042 مخارج بسبب رقعة غير مكتملة من CVE-2022-27925 الضعف.
  • تحقق المزيد من التحقيقات التي أجرتها Volexity من أنه كان من الممكن تجاوز المصادقة عند الوصول إلى استيراد ام بوكس نقطة النهاية.
  • استنادًا إلى عمليات المسح على مستوى الإنترنت التي أجرتها Volexity، تم اختراق أكثر من 1,000 خادم ZCS وتخريبها.

التحليل الفني

أثناء فحص الكود المصدري لخادم MailboxImport بواسطة Volexity، تم الكشف عن ما يلي:
  • ال دوبوست كانت الوظيفة، التي يتم استدعاؤها للتحقق من مصادقة المستخدم عند الوصول إلى عنوان URL، معيبة.
  • تبين أن الخلل في الكود هو عدم وجود بيان الإرجاع، بعد التحقق من المصادقة وتعيين رسالة خطأ عند فشل المصادقة.
  • أدى ذلك إلى تنفيذ الكود المتبقي حتى في حالة عدم مصادقة المستخدم، مما أدى إلى تحميل ملف zip الضار على الخادم.
[معرف التسمية التوضيحية = «المرفق _21515" align= «alignnone» width="701"]Flawed logic in the doPost function in MailboxImport (Source: Volexity) منطق معيب في وظيفة doPost في MailboxImport (المصدر: Volexity) [/caption]

معلومات من OSINT

  • يُظهر استعلام Shodan لمثيلات ZCS ما مجموعه 72,404 مثيلات نشطة في جميع أنحاء العالم.
[معرف التسمية التوضيحية = «المرفق _21516" align= «alignnone» width="1096"]Shodan result for Zimbra instances عرض نتيجة لمثيلات Zimbra [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • يتيح الاستغلال الناجح للمهاجم الوصول إلى كل بريد إلكتروني يتم إرساله واستلامه على خادم بريد إلكتروني مخترق.
  • يمكن استغلال الوصول الأولي من أجل:
    • سرقة بيانات اعتماد المستخدم
    • تصعيد الامتيازات
    • تثبيت الأبواب الخلفية
    • نشر برامج الفدية
    • تحميل ملفات ضارة
  • قم بتحديث ZCS إلى الإصدارات المصححة التالية:
    • 9.0.0P26
    • 8.8.15 ص 33

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _21517" align= «alignnone» width="1536"]Geographic distribution of compromised Zimbra servers (Source: Volexity) التوزيع الجغرافي لخوادم Zimbra المخترقة (المصدر: Volexity) [/caption]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد