Уязвимость в Zimbra эксплуатируется злоумышленниками

Серверы с ПО Zimbra Collaboration атакованы через уязвимость в инструменте для распаковки архивов.

Уязвимость в Zimbra Collaboration активно эксплуатируется APT-группировками.

Эксперты «Лаборатории Касперского» выяснили, что неизвестные APT-группировки эксплуатируют недавно обнаруженную уязвимость CVE-2022-41352 в программном обеспечении Zimbra Collaboration. Как минимум одна из этих группировок активно атакует уязвимые серверы в Центральной Азии.

Что за уязвимость и чем она опасна?

Уязвимость была найдена в утилите cpio, которую использует фильтр контента Amavis, входящий в состав Zimbra Collaboration, для распаковки архивов. Злоумышленник может специальным образом сконструировать вредоносный архив и послать его на сервер с уязвимой версией Zimbra Collaboration. При проверке содержимого фильтром Amavis вызывается утилита cpio, которая разархивирует веб-шелл злоумышленников в одну из публично-доступных директорий. Далее преступникам остается только вызвать веб-шелл и начать выполнять произвольные команды на атакованном сервере. Иными словами, эта уязвимость родственна уязвимости в модуле tarfile, o которой мы писали совсем недавно.

Более подробное техническое описание уязвимости можно найти в блоге на сайте Securelist. Помимо прочего, там перечислены директории, в которые злоумышленники помещали свой веб-шелл в атаках, исследованных нашими специалистами.

Что особенно неприятно, информация об этой уязвимости была добавлена в Metasploit Framework — платформу, которая в теории служит для исследования и тестирования эксплойтов, но по факту часто используется злоумышленниками для реальных атак. Таким образом, эксплойт для CVE-2022-41352 теперь может быть использован даже начинающими киберпреступниками для атак на уязвимые серверы.

Как оставаться в безопасности?

14 октября Zimbra выпустила патч вместе с инструкциями по его усттановке. Так что первым логичным шагом будет обновить программу до последней версии. Если по какой-то причине вы не можете обновить Zimbra Collaboration, то есть обходное решение: атаку можно предотвратить, если установить на уязвимый сервер утилиту pax, — в этом случае Amavis будет использовать для разархивирования именно ее. Однако не стоит забывать, что это не универсальное решение проблемы — в теории злоумышленники могут придумать и другой способ эксплуатации cpio.

Если вы подозреваете, что вас атакуют через эту уязвимость, или же обнаружили веб-шелл в одной из директорий, перечисленных в посте на Securelist, наши эксперты рекомендуют связаться со специалистами по реагированию на инциденты. Атакующие уже могли получить доступ к прочим сервисным учетным записям или даже установить бэкдоры. Это даст им возможность восстановить доступ к атакованной системе, даже если веб-шелл удалить.

Kaspersky Endpoint Security for Business успешно выявляют и блокируют попытки эксплуатации уязвимости CVE-2022-41352.

Советы