Kerentanan keamanan Zimbra yang melewati autentikasi secara aktif dieksploitasi untuk menyusup ke server email Zimbra Collaboration Suite (ZCS) di seluruh dunia.
Zimbra adalah platform email dan kolaborasi yang digunakan oleh lebih dari 200.000 bisnis dari lebih dari 140 negara, termasuk lebih dari 1.000 organisasi pemerintah dan keuangan.
Dieksploitasi habis-habisan
Penyerang telah menyalahgunakan kesalahan eksekusi kode jarak jauh ZCS yang dilacak sebagai CVE-2022-27925 yang memerlukan otentikasi dengan bantuan bug bypass auth (dilacak sebagai CVE-2022-37042 dan ditambal belum lama ini) sedini mungkin di akhir Juni.
Kerentanan ini dieksploitasi dengan cara yang konsisten dengan apa yang terlihat pada kerentanan 0-hari Microsoft Exchange yang ditemukan pada awal 2021.
Awalnya dieksploitasi oleh aktor ancaman yang berorientasi spionase, tetapi kemudian diambil oleh aktor ancaman lain dan digunakan dalam upaya eksploitasi massal.
Eksploitasi yang berhasil memungkinkan penyerang untuk menyebarkan cangkang web di lokasi tertentu di server yang disusupi untuk mendapatkan akses yang terus-menerus.
Kerentanan ini berada di bawah eksploitasi aktif, pengguna/pelanggan harus diingatkan di berbagai media mereka untuk segera menerapkan patch karena  memang disalahgunakan dalam serangan tersebut.
Jika Anda menjalankan versi Zimbra yang lebih lama dari Zimbra 8.8.15 patch 33 atau Zimbra 9.0.0 patch 26, Anda harus memperbarui ke patch terbaru sesegera mungkin.
CISA (Certified Information Systems Auditor) juga mengkonfirmasi bahwa kedua kelemahan keamanan dieksploitasi di alam liar dengan menambahkannya ke katalog bug yang dieksploitasi pada hari Kamis.
Lebih dari 1.000 server sudah dikompromikan
Setelah menemukan bukti selama beberapa tanggapan insiden bahwa server email Zimbra dibobol menggunakan CVE-2022-27925 RCE dengan bantuan bug bypass autentikasi CVE-2022-37042, server yang diretas yang terpapar melalui akses Internet.
Untuk melakukan ini, semua pakar keamanan yang ada didalam perusahaan pengguna zimbra harus menggunakan pengetahuan mereka tentang dimana pelaku ancaman memasang web shell di server.
Ekploitasi ini telah di identifikasi lebih dari 1.000 instance ZCS di seluruh dunia yang di-backdoor dan dikompromikan.
Instans ZCS ini milik berbagai organisasi global, termasuk departemen dan kementerian pemerintah, cabang militer, dan bisnis di seluruh dunia dengan pendapatan miliaran dolar.
Mengingat bahwa pemindaian ini hanya menggunakan jalur shell, kemungkinan jumlah sebenarnya dari server yang disusupi lebih tinggi.”
Zimbra telah dilaporkan mengenai hal ini dan mereka juga telah menyiapkan Tim Tanggap Darurat Komputer (CERT) lokal yang dapat dihubungi dari instans Zimbra yang disusupi.
Server email Zimbra yang disusupi
Karena pada versi Zimbra (8.8.15 patch 33 dan 9.0.0 patch 26) ditambal terhadap RCE dan bug bypass auth yang dieksploitasi secara aktif, admin harus segera menambal server mereka untuk memblokir serangan.
Jika server yang rentan belum ditambal terhadap bug RCE (CVE-2022-27925) sebelum akhir Mei 2022, Â Anda harus mempertimbangkan bahwa instance ZCS Anda dapat disusupi (dan dengan demikian semua data di dalamnya, termasuk konten email, dapat dicuri) dan melakukan analisis lengkap terhadap server.
Organisasi yang yakin server email ZCS mereka telah disusupi untuk menyelidiki kemungkinan insiden atau membangun kembali instans ZCS mereka menggunakan patch terbaru dan mengimpor email dari server lama.
Bug-bug Zimbra ini kemungkinan bukan satu-satunya yang dieksploitasi secara aktif, mengingat bahwa CISA telah menambahkan kelemahan Zimbra tingkat tinggi lainnya (CVE-2022-27924), yang memungkinkan penyerang yang tidak diautentikasi untuk mencuri kredensial teks biasa, ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.
Informasi lebih lanjut tentang tambalan khusus dapat ditemukan di:
Anda juga dapat memeriksa halaman pusat keamanan kami untuk pembaruan tentang kerentanan dan perbaikan terkait:
(dari berbagai sumber)