Detección de CVE-2022-27925: Explotación Masiva de Vulnerabilidad de Ejecución Remota de Código (RCE) en Zimbra Collaboration Suite

Los intentos de explotación de vulnerabilidades encontradas en Zimbra Collaboration Suite (ZCS) están ganando protagonismo en el ámbito de amenazas cibernéticas, como en el caso de CVE-2018-6882 utilizado en una campaña de ciberespionaje dirigida contra organismos estatales de Ucrania a mediados de abril de 2022. Durante julio y agosto de 2022, investigadores de ciberseguridad estaban investigando una serie de violaciones de seguridad que afectaban a los servidores de correo de ZCS y descubrieron que la causa probable de estos incidentes fue la explotación de una vulnerabilidad de ejecución remota de código (RCE) rastreada como CVE-2022-27925.

Detectar Intentos de Explotación de CVE-2022-27925 en Servidores de Correo de Zimbra

Dado que cientos de miles de empresas en todo el mundo usan Zimbra para la colaboración entre equipos, los problemas de seguridad que afectan a los productos de la compañía representan una amenaza grave a nivel global. Para permitir a las organizaciones defenderse efectivamente contra posibles ciberataques que exploten la vulnerabilidad Zimbra CVE-2022-27925, el equipo de SOC Prime ha lanzado recientemente una novedosa regla Sigma disponible en nuestra plataforma de Detección como Código. Los profesionales de ciberseguridad también pueden acceder instantáneamente a esta detección, acompañada de información contextual relevante, navegando en el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime para el CVE relacionado:

Posibles Patrones de Explotación de Zimbra [CVE-2022-27925] (a través de la web)

La regla Sigma dedicada se basa en registros de servidores de Zimbra comprometidos y se puede convertir automáticamente en 18 soluciones SIEM, EDR y XDR compatibles con la plataforma de SOC Prime. La detección está alineada con el marco MITRE ATT&CK® abordando la táctica de Acceso Inicial y la técnica correspondiente de Explotar Aplicaciones de Cara al Público (T1190). Los profesionales de ciberseguridad también pueden aplicar esta regla Sigma para buscar instantáneamente amenazas relacionadas en su entorno SIEM o EDR usando el módulo Quick Hunt de SOC Prime.

Para mantenerse por delante de las amenazas emergentes que afectan a los productos de Zimbra ampliamente utilizados, aproveche el kit de reglas Sigma dedicadas disponible en la plataforma de SOC Prime haciendo clic en el Detectar & Cazar botón abajo. Los usuarios no registrados de SOC Prime también pueden explorar metadatos contextuales informativos buscando en el Motor de Búsqueda de Amenazas Cibernéticas para amenazas relacionadas con Zimbra. Solo haga clic en el Explorar Contexto de Amenazas botón e investigar referencias relevantes de MITRE ATT&CK, descripciones de CVE y más información enriquecida con contexto, junto con una lista de reglas Sigma aplicables dentro de un rendimiento de búsqueda en subsegundo.

Detectar & Cazar Explorar Contexto de Amenazas

Análisis de CVE-2022-27925

Una vulnerabilidad de omisión de autenticación que afecta a la plataforma de correo de Zimbra está causando bastante revuelo. Los investigadores informan del creciente número de explotaciones en todo el mundo, totalizando más de 1000 servidores comprometidos pertenecientes a entidades de infraestructura crítica, PYMEs, y grandes empresas. Sin embargo, los investigadores enfrentan pruebas crecientes de que el número real de sistemas afectados por este Zimbra RCE es mucho mayor.

The Volexity equipo de investigación de incidentes lanzó un informe detallado sobre las violaciones de ZCS en julio-agosto de 2022. Según los datos de la investigación, CVE-2022-27925 requería credenciales de administrador para su explotación: otra vulnerabilidad de autenticación rastreada como CVE-2022-37042 vino al rescate. La explotación exitosa de estas vulnerabilidades combinadas permite a los hackers criminales insertar web shells en ubicaciones específicas de los servidores comprometidos y establecer un punto de apoyo dentro de la red violada.

Las versiones de Zimbra 8.8.15 parche 33 o 9.0.0 parche 26 fueron consideradas vulnerables por el proveedor. Las actualizaciones de software para solucionar todos los agujeros de seguridad mencionados ya están disponibles.

Únete a la plataforma de Detección como Código de SOC Prime para adelantarte a los atacantes con contenido de detección curado para combatir amenazas actuales y emergentes, junto con capacidades de vanguardia para una defensa cibernética mejorada. ¿Buscas hacer tu propia contribución a la experiencia colectiva de la industria al crear contenido de detección? Aprovecha el poder del Programa de Recompensas por Amenazas de SOC Prime y únete a más de 600 contribuidores de contenido para ayudar a construir un futuro cibernético más seguro juntos mientras monetizas tus habilidades en Ingeniería de Detección y Caza de Amenazas.