Zimbra Collaboration Suite ha avuto una vulnerabilità zero-day per oltre un mese, offrendo agli hacker una vera e propria giornata campale che ha portato all'hacking di quasi 900 server (si apre in una nuova scheda).
I ricercatori di Kaspersky hanno notato la vulnerabilità segnalata sul forum Zimbra, dopo che tutti i tipi di gruppi APT (Advanced Persistent Threat) l'hanno sfruttata per compromettere innumerevoli server.
Kaspersky ha definito la falla una vulnerabilità legata all'esecuzione di codice in modalità remota che consente agli hacker di inviare un'e-mail con un file dannoso che distribuisce una webshell sul server Zimbra senza attivare un allarme antivirus. Ora è tracciato come CVE-2022-41352. Alcuni ricercatori affermano che di conseguenza sono stati compromessi fino a 1.600 server.
CPIO in pensione
I ricercatori hanno successivamente affermato che almeno 876 server erano stati compromessi prima che una soluzione alternativa fosse condivisa e pubblicata. Tuttavia, quasi due mesi dopo il rapporto iniziale, e proprio mentre Zimbra stava per rilasciare una patch, Volexity ha dichiarato di aver compromesso circa 1600 server.
Zimbra ha quindi rilasciato la patch, portando il suo pacchetto di collaborazione (si apre in una nuova scheda) alla versione 9.0.0 P27. In esso l'azienda ha sostituito il componente difettoso (cpio) con Pax e ha rimosso il codice sfruttabile.
I primi attacchi sono iniziati nel settembre 2022 e hanno preso di mira server in India e Turchia. I primi raid sono stati effettuati contro obiettivi di "basso interesse", portando i ricercatori a concludere che gli hacker stavano solo testando le capacità della falla, prima di passare a obiettivi più redditizi. Tuttavia, dopo che la vulnerabilità è stata resa pubblica, gli autori delle minacce hanno accelerato il ritmo per utilizzarla il più possibile, prima che Zimbra rilasciasse una patch.
Si consiglia agli amministratori di sistema che non possono applicare immediatamente la patch di provare almeno a installare la soluzione alternativa, poiché il numero di attori malintenzionati che sfruttano attivamente la vulnerabilità rimane elevato.
Via: BleepingComputer (si apre in una nuova scheda)