Исследователи предупреждают, что «благодаря» критической RCE-уязвимости в Zimbra Collaboration Suite (ZCS) уже были взломаны около 900 уязвимых серверов. Этот баг имеет идентификатор CVE-2022-41352 и позволяет злоумышленникам загружать произвольные файлы и выполнять вредоносные действия на уязвимых установках ZCS.
Напомню, что об этой проблеме, получившей 9,8 балла по шкале оценки уязвимостей CVSS, стало известно в начале октября. Баг получил идентификатор CVE-2022-41352 и связан с методом, который антивирусное ядро Zimbra (Amavis) использует при сканировании входящих сообщений электронной почты. По данным аналитиков компании Rapid7, злоумышленник может воспользоваться этой уязвимостью, отправив по почте на уязвимый сервер специально подготовленный файл .cpio, .tar или .rpm.
Хуже того, в Metasploit уже добавлен PoC-эксплоит для этого бага, что позволяет даже низкоквалифицированным хакерам проводить эффективные атаки на уязвимые серверы.
По информации «Лаборатории Касперского», различные APT-группировки активно использовали уязвимость вскоре после того, как о ней сообщили на форумах Zimbra. Дело в том, что пользователи писали о проблеме еще в сентябре текущего года.
Журналисты издания Bleeping Computer пишут, что в частной беседе эксперты «Лаборатория Касперского» сообщили им о компрометации как минимум 876 серверов, которые были взломаны еще до того, как уязвимость получила широкую огласку.
Эксперты рассказали журналистам, что неизвестная APT, использующая CVE-2022-41352 для атак, по всей видимости, собрала работающий эксплоит еще на основе информации, размещенной на форумах Zimbra. Первые атаки на проблему начались в сентябре и были нацелены на уязвимые серверы Zimbra в Индии и некоторые в Турции. Эта первоначальная волна атак, вероятно, была тестовой, и тогда злоумышленники скомпрометировали 44 сервера.
Теперь, после придания проблемы огласке и появления модуля для Metasploit, эксплуатация уязвимости усилилась. К примеру, на днях компания Volexity сообщала, что ее аналитики выявили около 1600 серверов ZCS, которые были скомпрометированы злоумышленниками, использующими CVE-2022-41352 для установки веб-шеллов.
