Zimbra 漏洞的攻击和防护建议

重要信息摘要

Kaspersky 研究人员预计，随着 Zimbra 的一个远程代码执行漏洞的概念证明已被加入 Metasploit 项目，针对未修补服务器的第三波攻击将随之而来。简单的修补措施和安全建议可以帮助企业防范这种漏洞。

Kaspersky 的研究人员表示，他们预计由于近期一个 Zimbra 漏洞的概念证明被加入到 Metasploit 项目，将会出现第三波针对未修补服务器的攻击。

Zimbra 是一个为企业提供的协作工具软件套件，在五月发布了该漏洞的补丁，早于 SonarSource 的研究人员报告的两个月。

根据 Kaspersky 的说法，九月份接连发生的两波攻击，首波针对亚洲的政府服务器，而第二波则在 9 月 30 日展开，目标是位于特定中亚国家的所有脆弱服务。

“在 2022 年 10 月 7 日，关于此漏洞的概念证明被纳入 Metasploit 框架，为即便是技术水平较低的攻击者的广泛全球性利用奠定了基础，” Kaspersky 研究人员在其博客 SecureList 上表示。

Metasploit 提供漏洞信息并帮助进行渗透测试。

Zimbra 在其声明中承认 这一漏洞被追踪为 CVE202241352，来源于其病毒防护引擎使用 cpio 工具来扫描入站邮件。cpio 工具的一个缺陷 CVE20151197 允许黑客创建一个能够访问 Zimbra 内部任何文件的存档。

Kaspersky 推荐安全团队更新 Zimbra 发布的补丁，表示如果无法安装补丁，应该在承载 Zimbra 安装的机器上安装 pax，以防止该漏洞被利用。

网络安全和基础设施安全局 (CISA) 在 8 月将 Zimbra 远程代码执行漏洞添加到其已知利用漏洞目录，并要求所有美国联邦机构对该漏洞进行处理。根据供应商称，该软件套件已经被超过 200000 家企业使用，包括美国在内。