Categoria: Inteligência do adversárioIndústria: TI e tecnologiaRegião: Oriente MédioFonte*: C3

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Acesso web shell ao serviço de webmail da Bamboozle, desenvolvido por Zimbra, compartilhado no fórum de crimes cibernéticos.
• Possível vulnerabilidade do ZCS explorada para obter acesso.

• Todos os e-mails e serviços da web internos podem ser afetados.
• O acesso pode vazar credenciais, bancos de dados e outras informações críticas.

• Atualize o ZCS para os seguintes patches:
  • 9,0,0P26
  • 8,8.15P33

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças, compartilhando o acesso ao servidor web interno da Bamboozle, uma provedora líder de serviços de nuvem e TI nos Emirados Árabes Unidos.
• As seguintes informações foram compartilhadas:
  • Acesso gratuito a uma empresa do Oriente Médio para gerenciamento de nuvem e VM.
  • O acesso ao Web shell é fornecido para controlar todo o servidor de caixas de correio.
  • Link do URL do Web shell: https [:] //mail [.] bamboozlewebservices [.] com/zimbraadmin/cmd [.] jsp? cmd=echo+breached.co

[caption id="attachment_21510" align="aligncenter” width="1405"] Postagem do Threat Actor em um fórum de crimes cibernéticos [/caption]

Táticas, técnicas e procedimentos (TTPs)

• O serviço de e-mail de URL, Bamboozle RealMail, é desenvolvido pela Zimbra Collaboration Suite (ZCS). Dado que o Bamboozle fornece o serviço RealMail, é razoável supor que use o serviço também para comunicação interna.
• O agente da ameaça possivelmente explorou um dos seguintes CVEs para obter o suposto acesso:
  • CVE-2022-27925 foi divulgado pela Zimbra em 10 de maio de 2022, como uma vulnerabilidade autenticada de travessia de diretório. Essa vulnerabilidade permitiu que os invasores explorassem os servidores de e-mail ZCS de várias organizações sem ter acesso autenticado às instâncias do ZCS.
  • A autenticação, o desvio de diretório, a travessia de diretórios e a vulnerabilidade RCE foram atribuídos. CVE-2022-37042 com um CVSS V3 pontuação de 9,8, pois foi possível contornar a autenticação, o que fez com que vários servidores ZCS, por sua vez, fossem comprometidos e colocados em backdoor. (Para obter mais informações, leia o CloudSEK Consultivo)

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde agosto de 2022ReputationMedium (poucas reclamações e preocupações no fórum) Status atualActiveHistoryUnknownRatingC3 (C: Razoavelmente confiável; 3: Possivelmente verdadeiro)

Impacto e mitigação

ImpactoMitigação

• A exploração bem-sucedida dá ao invasor acesso a todos os e-mails enviados e recebidos em um servidor de e-mail comprometido.
• O acesso acima pode ser explorado para
  • Roubando credenciais de usuário
  • Escalação de privilégios
  • Instalando backdoors

• Atualize o Zimbra Collaboration Suite para as seguintes versões corrigidas:
  • 9,0,0P26
  • 8,8.15P33

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://bamboozle.at/enterprise-collaboration/business-email/
• Zimbra Collaboration Suite explorado ativamente por meio de uma vulnerabilidade de desvio de autenticação CVE-2022-37042
• Exploração em massa de Zimbra RCE (in) autenticado: CVE-2022-27925 | Volexity

[caption id="attachment_21511" align="alignnone” width="1312"] O serviço de e-mail Bamboozle é desenvolvido pela Zimbra Enterprise Collaboration [/caption]