Rilevamento CVE-2022-27925: Sfruttamento Massivo della Vulnerabilità di Esecuzione di Codice Remoto (RCE) in Zimbra Collaboration Suite
Indice:
I tentativi di sfruttamento delle vulnerabilità individuate in Zimbra Collaboration Suite (ZCS) stanno venendo alla ribalta nell’arena delle minacce informatiche, come nel caso di CVE-2018-6882 utilizzata in una campagna mirata di cyber-spionaggio contro gli enti statali ucraini a metà aprile 2022. Durante i mesi di luglio e agosto 2022, i ricercatori di cybersicurezza stavano investigando una serie di violazioni della sicurezza che interessavano i server di posta elettronica ZCS e hanno scoperto che la probabile causa di questi incidenti era lo sfruttamento di una vulnerabilità di esecuzione di codice remoto (RCE) identificata come CVE-2022-27925.
Rileva i tentativi di sfruttamento di CVE-2022-27925 nei server di posta elettronica Zimbra
Poiché centinaia di migliaia di aziende in tutto il mondo utilizzano Zimbra per la collaborazione tra team, le problematiche di sicurezza che interessano i prodotti dell’azienda rappresentano una grave minaccia su scala globale. Per consentire alle organizzazioni di difendersi efficacemente da potenziali attacchi informatici che sfruttano la vulnerabilità Zimbra CVE-2022-27925, il Team di SOC Prime ha recentemente rilasciato una nuova regola Sigma disponibile nella nostra piattaforma Detection as Code. I professionisti della cybersecurity possono anche accedere immediatamente a questa rilevazione accompagnata da informazioni di contesto rilevanti consultando il motore di ricerca per minacce informatiche di SOC Prime per il CVE correlato:
Possibili schemi di sfruttamento di Zimbra [CVE-2022-27925] (via web)
La regola Sigma dedicata si basa sui log dei server Zimbra compromessi e può essere automaticamente convertita in 18 soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime. La rilevazione è allineata con il framework MITRE ATT&CK® che affronta la tattica Initial Access e la corrispondente tecnica Exploit Public-Facing Application (T1190). I professionisti della cybersecurity possono anche applicare questa regola Sigma per cercare istantaneamente minacce correlate nel loro ambiente SIEM o EDR utilizzando il modulo Quick Hunt di SOC Prime.
Per stare al passo con le minacce emergenti che colpiscono i prodotti Zimbra ampiamente utilizzati, approfitta del kit di regole Sigma dedicato disponibile nella piattaforma di SOC Prime cliccando sul pulsante Detect & Hunt qui sotto. Gli utenti non registrati di SOC Prime possono anche esplorare metadati contestuali informativi consultando il motore di ricerca delle minacce informatiche per le minacce correlate a Zimbra. Basta cliccare sul pulsante Explore Threat Context e accedere ai riferimenti MITRE ATT&CK rilevanti, descrizioni di CVE e altre informazioni arricchite di contesto, insieme a un elenco di regole Sigma applicabili con una prestazione di ricerca sotto il secondo.
Detect & Hunt Explore Threat Context
Analisi di CVE-2022-27925
Un difetto di bypass dell’autenticazione che colpisce la piattaforma di posta elettronica Zimbra sta causando notevole scalpore. I ricercatori segnalano l’aumento del numero di exploit in tutto il mondo, con oltre 1000 server compromessi appartenenti a entità di infrastrutture critiche, PMI, e grandi imprese. Tuttavia, i ricercatori affrontano prove crescenti che il numero effettivo di sistemi colpiti da questo RCE di Zimbra sia molto più elevato.
The Volexity il team di ricerca sugli incidenti ha rilasciato un rapporto dettagliato sulle violazioni dello ZCS nei mesi luglio-agosto del 2022. Secondo i dati della ricerca, CVE-2022-27925 richiedeva credenziali di amministratore per lo sfruttamento: un’altra vulnerabilità di autenticazione identificata come CVE-2022-37042 è venuta in soccorso. Lo sfruttamento riuscito di queste vulnerabilità combinate consente ai criminali informatici di installare web shell su posizioni specifiche sui server compromessi e stabilire un punto d’appoggio all’interno della rete violata.
Le versioni di Zimbra 8.8.15 patch 33 o 9.0.0 patch 26 sono state considerate vulnerabili dal fornitore. Gli aggiornamenti software per risolvere tutte le falle di sicurezza sopra menzionate sono già disponibili.
Unisciti a la piattaforma Detection as Code di SOC Prime per stare al passo con gli attaccanti dotati di contenuti di rilevamento curati per combattere le minacce correnti ed emergenti insieme a capacità all’avanguardia per una difesa informatica potenziata. Stai cercando di dare il tuo contributo all’esperienza collettiva del settore autori di contenuti di rilevamento? Sfrutta la potenza del Programma Threat Bounty di SOC Prime e unisci le forze con oltre 600 contributori di contenuti per aiutare a costruire insieme un futuro cibernetico più sicuro mentre monetizzi le tue competenze in Detection Engineering e Threat Hunting.
