Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Execução remota de códigoID DA CAVERNA: CVE-2022-37042CVSS: 3.0 Pontuação: 9,8

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• A vulnerabilidade RCE no Zimbra Collaboration Suite (ZCS) está sendo ativamente explorada na natureza.
• A vulnerabilidade está listada no “Catálogo de vulnerabilidades exploradas conhecidas” da CISA.

• A vulnerabilidade pode permitir que os agentes de ameaças obtenham acesso inicial à rede de uma organização e realizem mais explorações.

• Atualize o ZCS para os seguintes patches:
  • 9,0,0P26
  • 8,8.15P33

Análise

• Em 10 de maio de 2022, Zimbra divulgou CVE-2022-27925 como uma vulnerabilidade autenticada de travessia de diretórios.
• Essa vulnerabilidade afeta o Zimbra Collaboration Suite (SACOS) versões 8.8.15 e 9.0, que usam importação de mbox funcionalidade para receber arquivos ZIP e extrair arquivos deles.
• No entanto, em 10 de agosto de 2022, a Volexity, uma empresa de ciberciência forense e resposta a incidentes, divulgou um relatório afirmando que essa vulnerabilidade foi usada para explorar servidores de e-mail ZCS de várias organizações sem ter acesso autenticado às instâncias do ZCS.
• A autenticação, o desvio de diretório, a travessia de diretórios e a vulnerabilidade RCE foram atribuídos. CVE-2022-37042 com um CVSS V3 pontuação de 9,8.
• CVE-2022-37042 sai devido a um patch incompleto do CVE-2022-27925 vulnerabilidade.
• Uma investigação mais aprofundada da Volexity verificou que era possível ignorar a autenticação ao acessar o importação de mbox ponto final.
• Com base em varreduras na Internet conduzidas pela Volexity, mais de 1.000 servidores ZCS foram comprometidos e colocados em backdoor.

Análise técnica

Durante a inspeção do código-fonte do servlet MailboxImport pela Volexity, foi revelado que:

• O Faça uma postagem A função, que é chamada para verificar a autenticação do usuário quando a URL foi acessada, estava com defeito.
• Verificou-se que a falha no código era a ausência de uma declaração de retorno, após a verificação de autenticação e uma mensagem de erro definida sobre falha na autenticação.
• Isso levou à execução do código restante mesmo quando o usuário não estava autenticado, levando ao upload do arquivo zip malicioso no servidor.

[caption id="attachment_21515" align="alignnone” width="701"] Lógica defeituosa na função doPost em MailboxImport (Fonte: Volexity) [/caption]

Informações da OSINT

• A consulta Shodan para instâncias do ZCS mostra um total de 72.404 instâncias ativas em todo o mundo.

[caption id="attachment_21516" align="alignnone” width="1096"] Resultado do Shodan para instâncias do Zimbra [/caption]

Impacto e mitigação

ImpactoMitigação

• A exploração bem-sucedida dá ao invasor acesso a todos os e-mails enviados e recebidos em um servidor de e-mail comprometido.
• O acesso inicial pode ser explorado para:
  • Roubando credenciais de usuário
  • Escalação de privilégios
  • Instalando backdoors
  • Implantação de ransomware
  • Carregando arquivos maliciosos

• Atualize o ZCS para as seguintes versões corrigidas:
  • 9,0,0P26
  • 8,8.15P33

Referências

• ^#Protocolo de semáforo - Wikipedia
• CISA - Atores de ameaças explorando vários CVEs contra o Zimbra Collaboration Suite
• Volexidade - Exploração em massa de Zimbra RCE (in) autenticado: CVE-2022-27925

Apêndice

[caption id="attachment_21517" align="alignnone” width="1536"] Distribuição geográfica dos servidores Zimbra comprometidos (Fonte: Volexity) [/caption]