CVE-2022-27925-Erkennung: Massenhafte Ausnutzung der Remote Code Execution (RCE) Sicherheitslücke in Zimbra Collaboration Suite
Inhaltsverzeichnis:
Exploitationsversuche von Schwachstellen, die in der Zimbra Collaboration Suite (ZCS) gefunden wurden, rücken im Bereich der Cyber-Bedrohungen in den Fokus, wie im Fall von CVE-2018-6882 , die in einer gezielten Cyber-Spionage-Kampagne gegen ukrainische Staatsorgane Mitte April 2022 eingesetzt wurde. Im Juli und August 2022 untersuchten Cybersicherheitsforscher eine Reihe von Sicherheitsverletzungen, die ZCS-E-Mail-Server betrafen, und entdeckten, dass die wahrscheinliche Ursache dieser Vorfälle die Ausnutzung einer Remote-Code-Ausführungs-Schwachstelle (RCE) war, die unter CVE-2022-27925 verfolgt wird.
Erkennung von Exploitversuchen der CVE-2022-27925 in Zimbra-E-Mail-Servern
Da hunderte von tausenden Unternehmen weltweit Zimbra für die teamübergreifende Zusammenarbeit nutzen, stellen Sicherheitsprobleme, die die Produkte des Unternehmens betreffen, eine ernsthafte Bedrohung im globalen Maßstab dar. Um Organisationen in die Lage zu versetzen, sich wirksam gegen potenzielle Cyberangriffe zu verteidigen, die die Zimbra-Schwachstelle CVE-2022-27925 ausnutzen, hat das SOC Prime Team kürzlich eine neuartige Sigma-Regel veröffentlicht, die in unserer Detection as Code-Plattform verfügbar ist. Cybersicherheitspraktiker können diesen Detection auch sofort zusammen mit relevanten Kontextinformationen abrufen, indem sie die Cyber Threats Suchmaschine von SOC Prime nach zugehörigem CVE durchsuchen:
Mögliche Exploit-Muster in Zimbra [CVE-2022-27925] (über das Web)
Die dedizierte Sigma-Regel basiert auf Protokollen von kompromittierten Zimbra-Servern und kann automatisch in 18 SIEM-, EDR- und XDR-Lösungen umgewandelt werden, die von der SOC Prime-Plattform unterstützt werden. Die Erkennung ist mit dem MITRE ATT&CK®-Framework ausgerichtet, das sich mit der Taktik des Initial Access und der entsprechenden Technik Exploit Public-Facing Application (T1190) befasst. Cybersicherheitspraktiker können diese Sigma-Regel auch anwenden, um sofort nach verwandten Bedrohungen in ihrer SIEM- oder EDR-Umgebung zu suchen, indem sie das Quick Hunt-Modul von SOC Prime nutzen.
Um neu auftretenden Bedrohungen, die weit verbreitete Zimbra-Produkte betreffen, einen Schritt voraus zu sein, nutzen Sie das dedizierte Sigma-Regelkit, das in der SOC Prime-Plattform verfügbar ist, indem Sie auf den Detect & Hunt -Button unten klicken. Nicht registrierte SOC Prime-Nutzer können auch aufschlussreiche kontextuelle Metadaten erkunden, indem sie die Cyber Threats Suchmaschine nach zimbra-bezogenen Bedrohungen durchsuchen. Klicken Sie einfach auf den Bedrohungskontext erkunden -Button und tauchen Sie tiefer in relevante MITRE ATT&CK-Referenzen, CVE-Beschreibungen und mehr kontextangereicherte Informationen ein, zusammen mit einer Liste anwendbarer Sigma-Regeln mit einer Sub-Sekunden-Suchleistung.
Detect & Hunt Bedrohungskontext erkunden
Analyse der CVE-2022-27925
Ein Authentifizierungsumgehungsfehler, der die Zimbra-E-Mail-Plattform betrifft, sorgt für erhebliches Aufsehen. Forscher berichten über die zunehmende Zahl von Exploits weltweit, die über 1000 kompromittierte Server betreffen, die zur kritischen Infrastruktur, KMU, kleinen und mittelständischen Unternehmen sowie großen Unternehmen gehören. Doch die Forscher sehen sich zunehmenden Beweisen ausgesetzt, dass die tatsächliche Anzahl der von diesem Zimbra RCE betroffenen Systeme weit höher ist.
The Das Incident-Research-Team von Volexity veröffentlichte im Juli-August 2022 einen umfassenden Bericht über die ZCS-Verstöße. Laut den Forschungsdaten benötigte CVE-2022-27925 Administratoranmeldeinformationen für die Ausnutzung: Eine weitere Authentifizierungsschwachstelle, die unter CVE-2022-37042 erfasst wurde, kam zur Rettung. Die erfolgreiche Ausnutzung dieser kombinierten Schwachstellen ermöglicht es kriminellen Hackern, Webshells an spezifischen Orten auf den kompromittierten Servern abzulegen und einen Stützpunkt im kompromittierten Netzwerk zu etablieren.
Zimbra-Versionen 8.8.15 Patch 33 oder 9.0.0 Patch 26 wurden vom Hersteller als anfällig eingestuft. Die Software-Updates zum Schließen aller oben genannten Sicherheitslücken sind bereits verfügbar.
Treten Sie bei SOC Prime’s Detection as Code-Plattform , um Angreifern mit kuratierten Erkennungsinhalten zur Bekämpfung aktueller und aufkommender Bedrohungen sowie modernsten Fähigkeiten für verbesserten Cyber-Schutz einen Schritt voraus zu sein. Möchten Sie selbst einen Beitrag zum kollektiven Branchenwissen leisten, indem Sie Erkennungsinhalte verfassen? Nutzen Sie die Macht von SOC Prime’s Threat Bounty Program , und schließen Sie sich über 600 Inhaltserstellern an, um gemeinsam eine sicherere Cyber-Zukunft zu gestalten und dabei Ihre Fertigkeiten in der Detection Engineering und Threat Hunting zu monetarisieren.
