Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Execução remota de códigoID DA CAVERNA: CVE-2022-30333CVSS: 3.0 Pontuação: 7.5

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Uma vulnerabilidade RCE nos servidores de webmail Zimbra está sendo ativamente explorada para atingir várias organizações em todo o mundo.
• O exploit foi usado para lançar uma campanha de spear phishing contra a Europa.

• A exploração bem-sucedida permitirá o acesso a todos os e-mails enviados e recebidos no servidor comprometido.
• As credenciais roubadas dos usuários de uma organização podem ser usadas para aumentar o acesso e instalar backdoors.

• Atualize os servidores de webmail Zimbra para a versão binária 6,12.
• Realize treinamento de conscientização do usuário contra campanhas de phishing.

Análise

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília identificou vários agentes de ameaças explorando o CVE-2022-30333 para atingir servidores de webmail Zimbra vulneráveis.
• CVE-2022-30333 é um travessia de caminho vulnerabilidade no binário unRAR do RarLab que pode levar à execução remota de código (RCE) no webmail Zimbra e potencialmente afetar outras pessoas.
• O Zimbra é um conhecido serviço de webmail usado por várias empresas e organizações governamentais, portanto, a vulnerabilidade representa um alto risco de exploração.
• O unRAR 6.17 e versões anteriores dos seguintes softwares são afetados por essa vulnerabilidade:
• Patch 24 e versões anteriores do Zimbra 9.0.0
• Zimbra 8.8.15 patch 31 e versões anteriores

Informações de fóruns de crimes cibernéticos

• Uma quantidade significativa de conversas foi observada em fóruns e canais de crimes cibernéticos em relação ao CVE-2022-30333.
• Atores de ameaças foram vistos vendendo os exploits dessa vulnerabilidade em USD 4.000.
• Vários agentes de ameaças foram vistos postando sobre a exploração da vulnerabilidade do Zimbra para obter acesso aos servidores de e-mail do governo.

[caption id="attachment_20314" align="aligncenter” width="1027"] Venda de exploit para a vulnerabilidade Zimbra no fórum de crimes cibernéticos [/caption]

Informações da OSINT

• Vários agentes de ameaças estão explorando e compartilhando ativamente os POCs dessa vulnerabilidade.
• O CVE-2022-30333 foi explorado para lançar com sucesso uma campanha de spear phishing contra o Governo e agências europeias.
• Os atacantes estão usando essa vulnerabilidade para enviar mensagens de e-mail e fazer com que as vítimas cliquem em links maliciosos especialmente criados.
• Os e-mails enviados na campanha de spear-phishing eram frequentemente formatados da seguinte forma:
  • <firstname>_ <lastname><numbers>@outlook .com
  • <firstname><lastname><numbers>@outlook .com
• Um aumento significativo foi observado no número de tweets mencionando o CVE-2022-30333 no mês passado.

[caption id="attachment_20315" align="aligncenter” width="788"] Aumento de explorações usando a vulnerabilidade Zimbra (Fonte: CVE STALKER) [/caption]  

Detalhes técnicos

• Um invasor usa arquivos RAR criados com códigos maliciosos, que podem conter links simbólicos apontando para fora do diretório de extração, para desreferenciar com um segundo arquivo.
• Os agentes de ameaças estão usando função DosslashToUnix () para converter barras invertidas (\) em barras invertidas (/) para garantir que um arquivo RAR criado no Windows possa ser extraído em um sistema Unix.
• O exploit dá aos agentes de ameaças a liberdade de escrever e ler um arquivo em qualquer lugar do sistema da vítima.

Prova de conceito (PoC)

• O trecho de código a seguir está disponível publicamente em PoC (no GitHub) para CVE-2022-30333.
• O atacante fornece um alvo junto com alguns dados do arquivo como entrada.
• O código gera um .rar que explorará a vulnerabilidade e extrairá o arquivo para esse local.

[caption id="attachment_20316" align="aligncenter” width="1504"] PoC para a vulnerabilidade Zimbra [/caption]

Impacto e mitigação

ImpactoMitigação

• A exploração bem-sucedida dá ao invasor acesso a todos os e-mails enviados e recebidos em um servidor de e-mail comprometido.
• O acesso acima pode ser explorado para
  • Roubando credenciais de usuário
  • Escalação de privilégios
  • Instalando backdoors

• Atualize os servidores de webmail Zimbra para a versão binária 6,12.
• O treinamento de conscientização do usuário deve ser realizado para permitir que os indivíduos distingam entre um domínio autêntico e seu equivalente de phishing.

Indicadores de compromisso (IOCs)

Com base na campanha de phishing que explora a vulnerabilidade Zimbra, a seguir estão os IOCs. E-mail<firstname>_ <lastname><numbers>@outlook .com <firstname><lastname><numbers>@outlook .comURLshxxp: //fireclaws.spiritfield [.] ga/ [nome do arquivo] .jpeg? [inteiro] hxxp: //feralrage.spiritfield [.] ga/ [nome do arquivo] .jpeg? [inteiro] hxxp: //oaksage.spiritfield [.] ga/ [nome do arquivo] .jpeg? [inteiro] hxxp: //claygolem.spiritfield [.] ga/ [nome do arquivo] .jpeg? [inteiro]Endereço IP108,160,133,32 172,86,75,158206,166,251,141 206,166,251,166InfraestruturaAmazon check [.] cf Intelecto contundente [.] ml ChargedBoltsEntry.spiritfield [.] tkmail.bruising-intellect [.] ml TigerStrike.IceyWindflow [.] mlSubdomíniohxxps: //update.secretstep [.] tk/ [nome do arquivo] .jpeg? u= [inteiro] &t= [segundo_inteiro]

Referências

• #Protocolo de semáforo - Wikipedia
• Operação EmailThief: exploração ativa da vulnerabilidade XSS de dia zero em Zimbra | Volexity
• CVE STALKER - O gráfico de classificação de CVE (vulnerabilidade) mais viral-
• A vulnerabilidade Unrar Path Traversal afeta o Zimbra Mail (sonarsource.com)

Apêndice

[caption id="attachment_20317" align="alignnone” width="1181"] Vulnerabilidade Zimbra explorada para obter acesso a contas de e-mail de agências governamentais [/caption] [caption id="attachment_20318" align="aligncenter” width="669"] Um exemplo de e-mail usado na campanha de spear phishing [/caption] [caption id="attachment_20319" align="aligncenter” width="933"] A função DosslashToUnix () é usada para explorar a vulnerabilidade e ignorar as etapas de validação [/caption]