Σχεδόν 900 servers έχουν παραβιαστεί με την χρήση μιας κρίσιμης ευπάθειας Zimbra Collaboration Suite (ZCS), που ήταν μια ευπάθεια zero-day χωρίς patch για σχεδόν 1,5 μήνα.
Δείτε επίσης: Venus Ransomware: Στοχεύει εκτεθειμένες υπηρεσίες Remote Desktop
Η ευπάθεια που παρακολουθείται ως CVE-2022-41352 είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που επιτρέπει στους εισβολείς να στείλουν ένα email με ένα κακόβουλο συνημμένο αρχείου που εγκαθιστά ένα web shell στον ZCS server ενώ, ταυτόχρονα, παρακάμπτει τους ελέγχους προστασίας από ιούς.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Kaspersky, διάφορες ομάδες APT (advanced persistent threat) εκμεταλλεύτηκαν ενεργά το ελάττωμα αμέσως μετά την αναφορά του στα φόρουμ της Zimbra.
Η Kaspersky είπε στο BleepingComputer ότι εντόπισε τουλάχιστον 876 servers που είχαν παραβιαστεί από εξελιγμένους εισβολείς που αξιοποιούσαν την ευπάθεια προτού δημοσιοποιηθεί ευρέως και λάβει ένα αναγνωριστικό CVE.
Δείτε επίσης: Η ομάδα Guacamaya χάκαρε την κυβέρνηση της Κολομβίας: Διέρρευσαν ταυτότητες μυστικών πρακτόρων της AFP
Υπό ενεργό exploitation
Την περασμένη εβδομάδα, μια αναφορά της Rapid7 προειδοποίησε για το ενεργό exploitation του CVE-2022-41352 και προέτρεψε τους διαχειριστές να εφαρμόσουν τους διαθέσιμους τρόπους αντιμετώπισης, καθώς τότε δεν ήταν διαθέσιμη μια ενημέρωση ασφαλείας.
Την ίδια μέρα, προστέθηκε στο Metasploit framework ένα proof of concept (PoC), το οποίο επέτρεψε ακόμη και σε χάκερ χαμηλής ειδίκευσης να εξαπολύσουν αποτελεσματικές επιθέσεις εναντίον ευάλωτων server.
Η Zimbra κυκλοφόρησε έκτοτε μια επιδιόρθωση ασφαλείας με την έκδοση ZCS 9.0.0 P27, αντικαθιστώντας το ευάλωτο component (cpio) με το Pax και αφαιρώντας το αδύναμο τμήμα που έκανε δυνατό το exploitation.
Δείτε επίσης: Advanced: Δεδομένα υγειονομικής περίθαλψης κλάπηκαν σε επίθεση LockBit 3.0
Ωστόσο, μέχρι τότε πολλοί απειλητικοί παράγοντες είχαν ήδη αρχίσει να εξαπολύουν ευκαιριακές επιθέσεις χρησιμοποιώντας την ευπάθεια.
Η Volexity ανέφερε χθες ότι οι αναλυτές της είχαν εντοπίσει περίπου 1.600 ZCS servers που πιστεύουν ότι είχαν παραβιαστεί από απειλητικούς παράγοντες που αξιοποιούσαν το CVE-2022-41352 για να φυτέψουν webshells.
Χρησιμοποιείται από προηγμένες ομάδες hacking
Σε ιδιωτικές συνομιλίες με την εταιρεία κυβερνοασφάλειας Kaspersky, η BleepingComputer ενημερώθηκε ότι μια άγνωστη APT που εκμεταλλευόταν το κρίσιμο ελάττωμα πιθανότατα συνδύασε ένα λειτουργικό exploit με βάση τις πληροφορίες που δημοσιεύτηκαν στα φόρουμ της Zimbra.
Οι πρώτες επιθέσεις ξεκίνησαν τον Σεπτέμβριο, στοχεύοντας ευάλωτους servers Zimbra στην Ινδία και ορισμένους στην Τουρκία. Αυτό το αρχικό κύμα επιθέσεων ήταν πιθανότατα ένα δοκιμαστικό κύμα εναντίον στόχων χαμηλού ενδιαφέροντος για την αξιολόγηση της αποτελεσματικότητας της επίθεσης.
Ωστόσο, η Kaspersky εκτίμησε ότι οι απειλητικοί παράγοντες παραβίασαν 44 servers κατά τη διάρκεια αυτού του αρχικού κύματος.
Μόλις η ευπάθεια έγινε δημόσια, οι απειλητικοί παράγοντες άλλαξαν ταχύτητα και άρχισαν να εκτελούν μαζική στόχευση, ελπίζοντας να θέσουν σε κίνδυνο όσο το δυνατόν περισσότερους servers σε όλο τον κόσμο προτού οι διαχειριστές διορθώσουν τα συστήματα και κλείσουν την πόρτα στους εισβολείς.
Αυτό το δεύτερο κύμα είχε μεγαλύτερο αντίκτυπο, μολύνοντας 832 servers με κακόβουλα webshells, αν και αυτές οι επιθέσεις ήταν πιο τυχαίες από τις προηγούμενες επιθέσεις.
Οι διαχειριστές ZCS που δεν έχουν εφαρμόσει τις διαθέσιμες ενημερώσεις ασφαλείας του Zimbra ή τους τρόπους αντιμετώπισης πρέπει να το κάνουν αμέσως, καθώς η δραστηριότητα exploitation είναι σε υψηλή ταχύτητα και πιθανότατα δεν θα σταματήσει για κάποιο χρονικό διάστημα.
Πηγή πληροφοριών: bleepingcomputer.com
, που ήταν μια ευπάθεια zero-day...){kind=link}