Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker kompromittieren fast 900 Server durch Ausnutzung einer Sicherheitslücke in Zimbra
26. Oktober 2022. TuxCare PR Team
Hacker nutzen eine Sicherheitslücke mit der Bezeichnung CVE-2022-41352 in der Zimbra Collaboration Suite (ZCS) aus. Den Angreifern ist es bereits gelungen, sich in fast 900 Server einzuhacken.
Der Proof-of-Concept (PoC) der Schwachstelle wurde dem Metasploit Framework hinzugefügt, so dass auch unprofessionelle Angreifer die Schwachstelle ausnutzen können.
Kaspersky-Forscher erklärten, dass eine unbekannte APT, die die kritische Schwachstelle ausnutzte, wahrscheinlich einen funktionierenden Exploit auf der Grundlage der öffentlich zugänglichen Informationen in den Simbra-Foren zusammengestellt hatte.
Bei der Zimbra-Schwachstelle handelt es sich um einen Fehler bei der Remotecodeausführung, der es einem Angreifer ermöglicht, eine E-Mail mit einem bösartigen Archivanhang zu versenden, der eine Web-Shell auf dem Zimbra Collaboration Suite-Server platziert und dabei auch den Virenschutz umgeht.
Die Kaspersky-Forscher identifizierten mindestens 876 Server, die von Angreifern unter Ausnutzung der Schwachstelle kompromittiert worden waren, bevor diese bekannt wurde. Nach der Meldung versuchten verschiedene Bedrohungsgruppen ebenfalls, die Schwachstelle auszunutzen.
Seitdem die Schwachstelle gemeldet wurde, hat die Zahl der Angriffe zugenommen. Obwohl Zimbra ein Sicherheitsproblem mit ZCS Version 9.0.0 P27 behoben hat, starten Angreifer weiterhin opportunistische Angriffe, um die Schwachstelle auszunutzen.
Laut Kaspersky begannen die ersten Angriffe, die verwundbare Zimbra-Server ausnutzten, im September in Indien und der Türkei. Die Forscher gehen davon aus, dass es sich bei der ersten Angriffswelle wahrscheinlich um eine Testwelle gegen Ziele von geringem Interesse handelte, um die Wirksamkeit zu testen.
Die Angreifer kompromittierten in der ersten Welle 44 Server. In der zweiten Welle, nachdem der Fehler bekannt wurde, schalteten die Bedrohungsakteure einen Gang höher und begannen mit Massenangriffen, so dass 832 Server mit bösartigen Webshells kompromittiert wurden.
Laut dem Sicherheitsunternehmen Volexity wurden etwa 1600 ZCS-Server von Bedrohungsakteuren kompromittiert, nachdem sie CVE-2022-41352 ausgenutzt hatten, um Webshells einzuschleusen.
ZCS-Administratoren, die die verfügbaren Zimbra-Sicherheitsupdates oder Workarounds noch nicht angewendet haben, sollten dies umgehend tun, da die Schwachstellen bereits aktiv von Bedrohungsakteuren ausgenutzt werden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
