Kritiska sårbarheter i Zimbra Collaboration Suite

Ett antal allvarliga och kritiska sårbarheter i samarbets- och meddelandeprogramvaran Zimbra utnyttjas aktivt.[1] Sårbarheten CVE-2022-27925 är allvarlig (7,2 på CVSS-skalan) och kan exploateras tillsammans med den kritiska CVE-2022-37042 (CVSS 9,8).

Genom att utnyttja CVE-2022-27925 kan en auktoriserad angripare exekvera godtycklig kod på ett system. Genom att utnyttja CVE-2022-37042 kan angriparen ta sig förbi kravet på att vara auktoriserad användare på systemet. [2]

Uppdatering 2022-08-25

Sårbarheterna utnyttjas nu aktivt. CISA har därför uppdaterat sina rekommenderade åtgärder [1, 3]. Bland annat finns vägledning om hur man kan upptäcka sårbarheten med hjälp av IOC:er och Snort-signaturer. Rekommendationen från CISA är att administratörer i organisationer där Zimbra används bör inleda detektionsarbetet omgående.

Uppdatering 2022-09-28

CISA har tillsammans med Multi-State Information Sharing & Analysis Center (MS-ISAC) uppdaterat sin tidigare varning med information rörande IOC:er samt analysrapporter om skadlig kod. [4]

Uppdatering 2022-10-11

Ytterligare en sårbarhet i Zimbra (CVE-2022-41352) utnyttjas nu aktivt [5, 6]. Sårbarheten, som fått CVSS-klassning 9,8, gör att en angripare kan ladda upp godtyckliga filer som kan medföra inkorrekta behörigheter till användarkonton. En workaround finns tillgänglig [7]: Installera verktyget pax och starta om Zimbra.

Uppdatering 2022-10-18

Zimbra har publicerat uppdateringar som bland annat hanterar den kritiska sårbarheten CVE-41352. Uppdatera sårbara produkter så snart som möjligt. [8]

Påverkade produkter

Zimbra Collaboration Suite 8.8.15Zimbra Collaboration Suite 9.0

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera till 9.0.0P26 respektive 8.8.15P33.Vidare rekommenderas de som kört ouppdaterade versioner att utgå från att systemet kan vara angripet, och att därför ha back up-kopior offline i händelse av ett ransomwareangrepp. Se också rekommenderade åtgärder under rubriken “Incident response” i artikeln från CISA [1] samt de IOC:er som CISA publicerat [4].Se även till att installera verktyget pax som workaround för sårbarheten CVE-2022-41352 [7].

Källor

[1] https://www.cisa.gov/uscert/ncas/alerts/aa22-228a

[2] https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/

[3] https://www.cisa.gov/uscert/ncas/current-activity/2022/08/22/cisa-updates-advisory-threat-actors-exploiting-multiple-cves

[4] https://www.cisa.gov/uscert/ncas/current-activity/2022/09/27/cisa-updates-advisory-threat-actors-exploiting-multiple-cves

[5] https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/

[6] https://forums.zimbra.org/viewtopic.php?t=71153&p=306532

[7] https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/

[8] https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/