您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
Zimbra認(rèn)證繞過漏洞成功入侵超過1000臺(tái)服務(wù)器
Zimbra是一套郵箱和協(xié)同辦公平臺(tái),包括WebMail,日歷,通信錄,Web文檔管理等功能,有140個(gè)國(guó)家的超過20萬企業(yè)使用,其中包括超過1000個(gè)政府和金融機(jī)構(gòu)。
CVE-2022-27925漏洞
Volexity研究人員發(fā)現(xiàn)了一個(gè)Zimbra認(rèn)證繞過漏洞(CVE-2022-27925)被用于攻擊Zimbra Collaboration Suite (ZCS)郵箱服務(wù)器。在調(diào)查一起Zimbra郵件服務(wù)器入侵事件過程中,Volexity發(fā)現(xiàn)ZCS遠(yuǎn)程利用是根本原因。檢查入侵服務(wù)器的web日志發(fā)現(xiàn),漏洞利用預(yù)之前寫入webshell到硬盤的漏洞是一致的。示例web日志記錄如下所示:
檢查MailboxImport servlet源碼發(fā)現(xiàn),url訪問時(shí)會(huì)調(diào)用“doPost”函數(shù),會(huì)檢查用戶是否經(jīng)過認(rèn)證,如下圖所示:
圖 “MailboxImport” servlet函數(shù)
代碼的問題是對(duì)認(rèn)證進(jìn)行了檢查,也設(shè)置了錯(cuò)誤信息,但是并沒有return描述。也就是說之后的代碼會(huì)繼續(xù)執(zhí)行,與用戶的認(rèn)證狀態(tài)無關(guān)。利用該函數(shù),攻擊者只需要在URL中設(shè)置正確的參數(shù)就可以利用該漏洞。
受影響的版本
受影響的版本包括:
· Zimbra 8.8.15
· Zimbra 9.0.0
在野漏洞利用
Volexity 發(fā)現(xiàn)攻擊者濫用該漏洞的過程中結(jié)合了另一個(gè)認(rèn)證繞過漏洞(CVE-2022-37042)。研究人員認(rèn)為該漏洞與2021年初發(fā)現(xiàn)的微軟Exchange 0-day漏洞利用基本一致。最初的時(shí)候只是被情報(bào)監(jiān)控相關(guān)的攻擊者利用,但之后被大規(guī)模利用。攻擊者成功利用該漏洞可以在被入侵的服務(wù)器的特定位置部署web shell以實(shí)現(xiàn)駐留。
CISA在11日已經(jīng)確認(rèn)了這兩個(gè)安全漏洞的在野利用。通過掃描發(fā)現(xiàn),目前有超過1000臺(tái)服務(wù)器存在后門或已經(jīng)被入侵。涉及政府機(jī)關(guān)、軍事結(jié)構(gòu)、收入數(shù)十億的跨國(guó)公司。由于掃描shell路徑的限制,預(yù)計(jì)被入侵的服務(wù)器數(shù)量更多。
安全補(bǔ)丁
Volexity稱,如果有漏洞的服務(wù)器在5月底前沒有修復(fù)CVE-2022-27925漏洞,那就可以認(rèn)為ZCS實(shí)例已經(jīng)被入侵了,包括郵件內(nèi)容在內(nèi)的所有內(nèi)容都可能被竊了。
研究人員建議對(duì)可能的入侵事件進(jìn)行分析,并使用最新的補(bǔ)丁重構(gòu)ZCS實(shí)例。
參考及來源:https://www.bleepingcomputer.com/news/security/zimbra-auth-bypass-bug-exploited-to-breach-over-1-000-servers/
文章來源:嘶吼專業(yè)版