Zimbra是一套郵箱和協(xié)同辦公平臺，包括WebMail，日歷，通信錄，Web文檔管理等功能，有140個國家的超過20萬企業(yè)使用，其中包括超過1000個政府和金融機構(gòu)。

CVE-2022-27925漏洞

Volexity研究人員發(fā)現(xiàn)了一個Zimbra認證繞過漏洞(CVE-2022-27925)被用于攻擊Zimbra Collaboration Suite (ZCS)郵箱服務(wù)器。在調(diào)查一起Zimbra郵件服務(wù)器入侵事件過程中，Volexity發(fā)現(xiàn)ZCS遠程利用是根本原因。檢查入侵服務(wù)器的web日志發(fā)現(xiàn)，漏洞利用預(yù)之前寫入webshell到硬盤的漏洞是一致的。示例web日志記錄如下所示：

檢查MailboxImport servlet源碼發(fā)現(xiàn)，url訪問時會調(diào)用“doPost”函數(shù)，會檢查用戶是否經(jīng)過認證，如下圖所示：

圖 “MailboxImport” servlet函數(shù)

代碼的問題是對認證進行了檢查，也設(shè)置了錯誤信息，但是并沒有return描述。也就是說之后的代碼會繼續(xù)執(zhí)行，與用戶的認證狀態(tài)無關(guān)。利用該函數(shù)，攻擊者只需要在URL中設(shè)置正確的參數(shù)就可以利用該漏洞。

受影響的版本

受影響的版本包括：

· Zimbra 8.8.15

· Zimbra 9.0.0

在野漏洞利用

Volexity 發(fā)現(xiàn)攻擊者濫用該漏洞的過程中結(jié)合了另一個認證繞過漏洞(CVE-2022-37042)。研究人員認為該漏洞與2021年初發(fā)現(xiàn)的微軟Exchange 0-day漏洞利用基本一致。最初的時候只是被情報監(jiān)控相關(guān)的攻擊者利用，但之后被大規(guī)模利用。攻擊者成功利用該漏洞可以在被入侵的服務(wù)器的特定位置部署web shell以實現(xiàn)駐留。

CISA在11日已經(jīng)確認了這兩個安全漏洞的在野利用。通過掃描發(fā)現(xiàn)，目前有超過1000臺服務(wù)器存在后門或已經(jīng)被入侵。涉及政府機關(guān)、軍事結(jié)構(gòu)、收入數(shù)十億的跨國公司。由于掃描shell路徑的限制，預(yù)計被入侵的服務(wù)器數(shù)量更多。

安全補丁

Volexity稱，如果有漏洞的服務(wù)器在5月底前沒有修復CVE-2022-27925漏洞，那就可以認為ZCS實例已經(jīng)被入侵了，包括郵件內(nèi)容在內(nèi)的所有內(nèi)容都可能被竊了。

研究人員建議對可能的入侵事件進行分析，并使用最新的補丁重構(gòu)ZCS實例。

參考及來源：https://www.bleepingcomputer.com/news/security/zimbra-auth-bypass-bug-exploited-to-breach-over-1-000-servers/

文章來源：嘶吼專業(yè)版