هشدار در خصوص آسیب پذیری‌های حیاتی در سرویس‌دهنده‌ی ایمیل زیمبرا

هشدار در خصوص آسیب پذیری‌های حیاتی در سرویس‌دهنده‌ی ایمیل زیمبرا

تاریخ ایجاد

دو آسیب‌پذیری حیاتی شناسایی شده در سرویس دهنده‌ی ایمیل زیمبرا بصورت گسترده مورد سواستفاده مهاجمین قرار گرفته است. این دو آسیب‌پذیری شامل آسیب‌پذیری RCE به شناسه‌ی CVE-2022-27925 و آسیب‌پذیری authentication bypass به شناسه‌ی CVE-2022-37042 است.  ترکیب این دو آسیب پذیری باعث شده مهاجم بتواند با ایجاد یک فایل ZIP محتوی یک فایل با آدرس نسبی، نسبت به جایگزاری فایل در مسیر مشخص اقدام کنند. این دو آسیب‌پذیری در patch نسخه‌های 9.0.0P26  و 8.8.15P33 رفع شده‌اند.
بهره‌برداری از این آسیب‌پذیری از طریق ارسال درخواست HTTP post به سرویس دهنده‌ی وب زیمبرا صورت می‌گیرد.
 

a

با توجه به سواستفاده گسترده از این آسیب‌پذیری‌ها طی یک  ماه گذشته، چنانچه سرویس webmail زیمبرا بر روی اینترنت قرار داشته، به احتمال بسیار زیاد مورد نفوذ قرار گرفته است.
بمنظور بررسی نفوذ احتمالی لازم است اقدامات زیر صورت پذیرد:

1.  بررسی لاگ‌های دسترسی webmail و جستجوی الگوی حمله

برای این منظور به شرط در دسترس بودن لاگ‌های access log بلندمدت (بیش از یک ماه) می توان با جستجوی عبارت زیر، اقدام به سواستفاده‌ از آسیب‌پذیری را بررسی کرد:

mboximport?account-name=admin

به عنوان نمونه، می توان در کنسول سیستم عامل میزبان زیمبرا به صورت زیرجستجوی فوق را انجام داد:

sudo grep -r "mboximport?account-name=admin" /opt/zimbra/log

2. در صورت نفوذ موفق به سرور از این روش،‌ مهاجم از طریق بارگزاری webshell در سرویس دهنده‌ی وب، امکان اجرای فرامین را از راه دور بدست می‌آورد. جهت کشف وب‌شل‌های بارگزاری شده‌ی احتمالی، می‌توان نسبت به مقایسه فایل‌های “.jsp” سرویس‌دهنده وب با فهرست فایل‌های موجود در زیمبرا اقدام کرده و هر فایل مشاهده اضافی را مورد بررسی قرار داد. فهرست فایل‌های  مجاز “.jsp” برخی از نسخه‌های زیمبرا در آدرس زیر موجود است:

https://github.com/volexity/threat-intel/tree/main/2022/2022-08-10%20Mass%20exploitation%20of%20(Un…

3. در صورت تایید نفوذ مهاجمین به سرور:

  • احتمال دسترسی مهاجم یه تمامی اطلاعات سرور از جمله محتوای ایمیل‌ها وجود دارد.
  • لازم است نسبت به نصب سرور جدید، نصب آخرین بروزرسانی و patch منتشر شده و انتقال تنظیمات و اطلاعات ایمیل‌ها به سرور جدید اقدام گردد. جهت این کار می‌توان از راهنمای زیر استفاده نمود:

https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

منابع:

  1. https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-2…
  2. https://www.greynoise.io/blog/zimbra-collaboration-suite-vulnerability-analysis
     

 

 

 

برچسب‌ها
اخبار
هشدارها و راهنمایی امنیتی
  • 217