Nastavak iskorištavanja CVE-2022-41352 (Zimbra 0 dana)

Pregled

Korisnik je 10. rujna 2022. prijavio Službeni Zimbra forum da je njihov tim otkrio sigurnosni incident koji potječe iz potpuno zakrpane instance Zimbre. Detalji koje su pružili omogućili su Zimbri da potvrdi da je nepoznata ranjivost omogućila napadačima učitavanje proizvoljnih datoteka na trenutne poslužitelje. Trenutno Zimbra izdao ispravak i podijelio korake instalacije. Osim toga, administratori sustava mogu poduzeti ručne korake za ublažavanje kako bi spriječili uspješno iskorištavanje (pogledajte dolje).

Kaspersky je istražio ovu prijetnju i uspio je potvrditi da nepoznate APT grupe aktivno iskorištavaju ovu ranjivost u divljini, od kojih jedna sustavno inficira sve ranjive poslužitelje u srednjoj Aziji.

Dana 7. listopada 2022., dokaz koncepta za ovu ranjivost dodan je u okvir Metasploit, postavljajući temelje za masovno i globalno iskorištavanje čak i manje sofisticiranih napadača.

Pojedinosti o ranjivosti

Ova ranjivost utječe na komponentu paketa Zimbra pod nazivom Amavis, točnije cpio alat koji koristi za izdvajanje arhiva. Osnovni uzrok je druga ranjivost (CVE-2015-1197) u cpio za koji je dostupan popravak. Neshvatljivo administratori distribucije čini se da su vratili popravak i umjesto toga upotrijebite ranjivu verziju. To stvara veliku površinu za napad gdje bi se bilo koji softver koji se oslanja na cpio teoretski mogao koristiti za preuzimanje sustava. CVE-2015-1197 ranjivost je prolaska kroz direktorij: izdvajanje posebno izrađenih arhiva koje sadrže simboličke veze može uzrokovati postavljanje datoteka bilo gdje u sustavu datoteka.

U kontekstu CVE-2022-41352, scenarij iskorištavanja odvija se na sljedeći način:

  1. Napadač šalje e-poruku s priloženom zlonamjernom Tar arhivom.
  2. Nakon što primi e-poštu, Zimbra je šalje Amavisu na provjeru neželjene pošte i zlonamjernog softvera.
  3. Amavis analizira privitke e-pošte i provjerava sadržaj priložene arhive. Poziva cpio i pokreće se CVE-2015-1197.
  4. Tijekom ekstrakcije, JSP web ljuska se postavlja u jedan od javnih direktorija koje koristi komponenta web pošte. Napadač može otići u web okruženje i početi izvršavati proizvoljne naredbe na žrtvinom računalu.

Ublažavanje

Budući da je Zimbra izdala zakrpu za ovu ranjivost, najbolje rješenje je da odmah ažurirate svoj uređaj. Ako iz nekog razloga to nije moguće, instalirajte ga Molim na stroju na kojem se nalazi Zimbra instalacija spriječit će iskorištavanje ranjivosti. pax je dostupan u upraviteljima paketa (kao što su apt i yum) svih glavnih distribucija Linuxa. Od svih varijanti Linuxa koje službeno podržava Zimbra, samo Ubuntu instalira pax prema zadanim postavkama i stoga na njega ne utječe CVE-2022-41352:

Distribucija Osjetljivo na CVE-2022-41352
Red Hat Enterprise Linux 7 Da
Red Hat Enterprise Linux 8 Da
CentOS 7 Da
CentOS 8 Da
Oracle Linux 7 Da
Oracle Linux 8 Da
Rocky Linux 8 Da
Ubuntu 16.04 LTS Ne
Ubuntu 18.04 LTS Ne
Ubuntu 20.04 LTS Ne

Imajte na umu da instaliranje paxa ne rješava problem korijena ni na jednoj distribuciji, gdje druge programske staze unutar i izvan Zimbre i dalje mogu uzrokovati da cpio obrađuje nepouzdane podatke.

Otkrivanje

Ranjivost spomenuta u ovom postu iskorištena je u dva uzastopna vala napada. Prvi, koji se dogodio početkom rujna, čini se da je bio relativno ciljan i da je utjecao na vladine ciljeve u Aziji. Drugi, koji je započeo 30. rujna, bio je mnogo masovniji i išao je za svim ranjivim poslužiteljima koji se nalaze u određenim zemljama Srednje Azije. Sada kada je Metasploitu dodan dokaz koncepta, očekujemo da će uskoro započeti treći val, ovaj put vjerojatno s ransomwareom kao krajnjim ciljem.

Nakon izvođenja gore navedenih koraka za ublažavanje, vlasnicima Zimbra poslužitelja savjetuje se da provjere tragove kompromitacije. Sljedeći putovi su poznate lokacije za web ljuske koje postavljaju zlonamjerni akteri koji trenutno iskorištavaju CVE-2022-41352:

Osim toga, vrijedi napomenuti da Metasploit exploit ispušta svoju web-ljusku na sljedećim lokacijama:

Ako otkrijete jednu od ovih datoteka u svojoj instalaciji Zimbre, obratite se stručnjaku za odgovor na incidente što je prije moguće. Brisanje datoteke nije dovoljno. Dezinfekcija na Zimbri je iznimno teška jer će napadač imati pristup konfiguracijskim datotekama koje sadrže lozinke koje koriste različiti servisni računi. Ove se vjerodajnice mogu koristiti za ponovni pristup poslužitelju ako je administratorska ploča dostupna s interneta. Osim toga, s obzirom na rudimentarnu prirodu svih webshellova koje smo do sada otkrili, gotovo je sigurno da će napadači postaviti robusnija i sofisticiranija stražnja vrata kada im se ukaže prilika.

Kaspersky proizvodi nude potpuno pokriće protiv ove prijetnje i blokiraju svaki pokušaj iskorištavanja CVE-2022-41352. Iskorištavanja otkrivamo pomoću ranjivosti kao što je HEUR:Exploit.Multi.CVE-2022-41352.gen. Više informacija o dva vala napada dostupno je putem naše usluge Threat Intelligence, kontaktirajte nas [email protected] za detalje.

Leave a Reply

Your email address will not be published. Required fields are marked *