研究人员警告称，Zimbra RCE 漏洞被大规模利用

Hackernews 编译，转载请注明出处：

周四，美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞，称有证据表明这些漏洞被积极利用。

这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。

1. CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复）
2. CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复）

“如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。

CISA没有透露任何有关利用这些漏洞进行攻击的信息，但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。

简而言之，这些攻击涉及利用上述身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。

Volexity表示：“在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，并且该漏洞可以在没有有效管理凭据的情况下被利用，从而大大提高了该漏洞的严重性。”

它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。

这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。

Volexity说：“CVE-2022-27925最初被列为需要身份验证的RCE漏洞，然而，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。”

一周前，CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924，如果被利用，攻击者可能会从目标实例的用户那里窃取明文凭据。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文