发布于2022年10月18日3年前 Zimbra 已发布补丁,以包含其企业协作套件中一个被积极利用的安全漏洞,该漏洞可被用来将任意文件上传到易受攻击的实例。 该问题被跟踪为CVE-2022-41352(CVSS 评分:9.8),影响了 Zimbra 套件中名为Amavis的组件,这是一个开源内容过滤器,更具体地说,是它用于扫描和提取档案的 cpio 实用程序。 反过来,据说该漏洞源于另一个在 2015 年初首次披露的潜在漏洞 ( CVE-2015-1197 ),根据 Flashpoint的说法,该漏洞已得到纠正,但随后在后来的 Linux 发行版中被恢复。 “攻击者可以使用 cpio 包来获取对任何其他用户帐户的错误访问权限,”Zimbra 在上周发布的一份公告中表示,并补充说“建议使用 pax over cpio”。 修复程序可用于以下版本 - Zimbra 9.0.0 补丁 27 Zimbra 8.8.15 补丁 34 寻求武器化缺陷的攻击者所需要做的就是发送一封带有特制 TAR 存档附件的电子邮件,该附件在收到后提交给 Amavis,后者使用 cpio 模块触发漏洞利用。 网络安全公司卡巴斯基透露,未知的 APT 组织一直在积极利用该漏洞,其中一名参与者“系统地感染了中亚所有易受攻击的服务器”。 这些攻击在 9 月初和下旬展开了两次攻击波,主要针对该地区的政府实体,滥用最初的立足点在受感染的服务器上放置 web shell 以进行后续活动。 根据事件响应公司 Volexity 共享的信息,估计大约有 1,600 台 Zimbra 服务器受到了所谓的“针对性攻击和机会性攻击的混合”的感染。 “一些 web shell 路径 [...] 被用于有针对性地(可能是 APT)利用主要在亚洲的政府、电信和 IT 中的关键组织;其他人则被用于在全球范围内大规模利用,”该公司在一系列推文。
