해커가 Zimbra의 보안 결함을 악용하여 900개에 가까운 서버를 손상시켰습니다.
해커들은 짐브라 협업 제품군(ZCS)에서 CVE-2022-41352로 추적된 취약점을 악용하고 있습니다. 이미 위협 행위자들은 거의 900대의 서버를 해킹할 수 있었습니다.
메타스플로잇 프레임워크에 이 취약점의 개념 증명(PoC)이 추가되어 비전문 공격자도 이 취약점을 악용할 수 있게 되었습니다.
카스퍼스키 연구원들은 이 중요한 취약점을 악용한 알려지지 않은 APT가 심브라 포럼에 게시된 공개 정보를 기반으로 작동하는 익스플로잇을 컴파일했을 가능성이 있다고 설명했습니다.
짐브라 취약점은 원격 코드 실행 결함으로, 공격자가 악성 아카이브 첨부 파일이 포함된 이메일을 보내면 이 과정에서 바이러스 백신을 우회하는 동시에 짐브라 협업 스위트 서버에 웹 셸을 설치할 수 있습니다.
카스퍼스키 연구원들은 이 취약점이 공개되기 전에 공격자가 이 취약점을 악용하여 손상된 최소 876개의 서버를 확인했습니다. 이 취약점이 보고된 후 다양한 위협 그룹도 이 결함을 악용하려고 시도했습니다.
이 취약점이 보고된 이후 익스플로잇 비율이 증가했습니다. Zimbra가 ZCS 버전 9.0.0 P27의 보안 문제를 해결했지만 공격자들은 이 취약점을 악용하기 위한 기회주의적 공격을 계속하고 있습니다.
카스퍼스키에 따르면 취약한 짐브라 서버를 악용한 첫 번째 공격은 9월에 인도와 터키에서 시작되었습니다. 연구원들은 첫 번째 공격이 효과를 테스트하기 위해 저관여 표적에 대한 테스트 공격이었을 가능성이 높다고 보고 있습니다.
공격자들은 첫 번째 공격에서 44개의 서버를 손상시켰고, 두 번째 공격에서는 버그가 공개된 후 기어를 바꿔 대량 공격을 시작하여 832개의 서버가 악성 웹셸에 감염되었습니다.
보안 회사 Volexity는 약 1600대의 ZCS 서버가 CVE-2022-41352를 악용하여 웹셸을 심은 후 위협 공격자에 의해 손상되었다고 밝혔습니다.
위협 행위자들이 이미 이 결함을 적극적으로 악용하고 있으므로 사용 가능한 Zimbra 보안 업데이트 또는 해결 방법을 아직 적용하지 않은 ZCS 관리자는 즉시 적용하는 것이 좋습니다.
이 글의 출처는 BleepingComputer의 기사입니다.