Peneliti Peringatkan Eksploitasi Massal yang Berkelanjutan dari Kerentanan Zimbra RCE

  • Bagikan
Zimbra RCE Vulnerability

Beritaini.top Peneliti Peringatkan Eksploitasi Massal yang Berkelanjutan dari Kerentanan Zimbra RCE

Kerentanan Zimbra RCE

Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis ditambahkan dua kekurangannya Katalog Kerentanan Tereksploitasi yang Dikenalmengutip bukti eksploitasi aktif.

Dua masalah dengan tingkat keparahan tinggi terkait dengan kelemahan dalam Kolaborasi Zimbra, yang keduanya dapat dirangkai untuk mencapai eksekusi kode jarak jauh yang tidak diautentikasi pada server email yang terpengaruh –

  • CVE-2022-27925 (Skor CVSS: 7,2) – Eksekusi kode jarak jauh (RCE) melalui mboximport dari pengguna yang diautentikasi (diperbaiki di versi 8.8.15 Patch 31 dan 9.0.0 Patch 24 dirilis pada bulan Maret)
  • CVE-2022-37042 – Bypass otentikasi di MailboxImportServlet (diperbaiki di versi 8.8.15 Patch 33 dan 9.0.0 Patch 26 dirilis pada bulan Agustus)
Keamanan cyber

“Jika Anda menjalankan versi Zimbra yang lebih lama dari Zimbra 8.8.15 patch 33 atau Zimbra 9.0.0 patch 26 Anda harus memperbarui ke patch terbaru sesegera mungkin,” Zimbra diperingatkan awal minggu ini.

CISA belum membagikan informasi apa pun tentang serangan yang mengeksploitasi kelemahan tersebut, tetapi perusahaan keamanan siber Volexity dijelaskan eksploitasi massal instans Zimbra di alam liar oleh aktor ancaman yang tidak dikenal.

Singkatnya, serangan melibatkan pemanfaatan kelemahan bypass otentikasi yang disebutkan di atas untuk mendapatkan eksekusi kode jarak jauh pada server yang mendasarinya dengan mengunggah file arbitrer.

Kerentanan Zimbra RCE

Volexity mengatakan “adalah mungkin untuk melewati otentikasi ketika mengakses titik akhir yang sama (mboximport) yang digunakan oleh CVE-2022-27925,” dan bahwa cacat “dapat dieksploitasi tanpa kredensial administratif yang valid, sehingga membuat kerentanan secara signifikan lebih kritis dalam tingkat keparahan.”

Itu juga memilih lebih dari 1.000 contoh secara global yang di-backdoor dan dikompromikan menggunakan vektor serangan ini, beberapa di antaranya milik departemen dan kementerian pemerintah; cabang militer; dan perusahaan dengan pendapatan miliaran dolar.

Keamanan cyber

Serangan, yang terjadi baru-baru ini pada akhir Juni 2022, juga melibatkan penyebaran web shell untuk mempertahankan akses jangka panjang ke server yang terinfeksi. Negara teratas dengan instance yang paling banyak disusupi termasuk AS, Italia, Jerman, Prancis, India, Rusia, Indonesia, Swiss, Spanyol, dan Polandia.

“CVE-2022-27925 awalnya terdaftar sebagai eksploitasi RCE yang membutuhkan otentikasi,” kata Volexity. “Namun, ketika digabungkan dengan bug terpisah, itu menjadi eksploitasi RCE yang tidak diautentikasi yang membuat eksploitasi jarak jauh menjadi sepele.”

Pengungkapan ini muncul seminggu setelah CISA menambahkan bug terkait Zimbra lainnya, CVE-2022-27924, ke katalog, yang, jika dieksploitasi, dapat memungkinkan penyerang mencuri kredensial cleartext dari pengguna instance yang ditargetkan.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.