CVE-2022-27925 検出: Zimbra Collaboration Suiteにおけるリモートコード実行(RCE)脆弱性の大規模な悪用

Zimbra Collaboration Suite (ZCS) に見つかった脆弱性の悪用試行が、ウクライナの政府機関に対する標的型サイバースパイ活動で見られるように、サイバー脅威の舞台で注目を集めています。 CVE-2018-6882 2022年4月中旬に顕著になりました。2022年7月から8月にかけて、サイバーセキュリティ研究者はZCSメールサーバーを対象とした一連のセキュリティ侵害について調査し、これらの事件の起因である可能性が高いのは、CVE-2022-27925として追跡されるリモートコード実行脆弱性（RCE）の悪用であることを明らかにしました。

ZimbraメールサーバーにおけるCVE-2022-27925悪用試行を検出する

世界中で数十万社の企業がZimbraをクロスチームのコラボレーションに利用しているため、同社製品に影響するセキュリティ問題は全球的に深刻な脅威をもたらしています。Zimbra CVE-2022-27925脆弱性を悪用する潜在的なサイバー攻撃に効率的に対抗できるよう、SOC Prime Teamは最近、新しい シグマルール を当社のDetection as Codeプラットフォームで提供しています。サイバーセキュリティ実践者は、関連した文脈情報をSOC Primeのサイバー脅威検索エンジンで参照することで、関連したCVEについて瞬時にアクセスすることができます。

Zimbra悪用パターンの可能性 [CVE-2022-27925] (ウェブ経由)

専用のシグマルールは、侵害されたZimbraサーバーからのログに基づいており、SOC Primeのプラットフォームでサポートされている18のSIEM、EDR、およびXDRソリューションに自動的に変換できます。検出は MITRE ATT&CK®フレームワーク のInitial Access戦術と、対応するExploit Public-Facing Application（T1190）技術に整合しています。サイバーセキュリティ実践者は、このシグマルールを自身のSIEMまたはEDR環境で関連する脅威を瞬時に検索するために適用することができます SOC Primeのクイックハントモジュール.

広く使用されているZimbra製品に影響する新興の脅威に先手を打つために、SOC Primeのプラットフォームで利用可能な専用のシグマルールキットを活用し、以下の Detect & Hunt ボタンをクリックしてください。登録していないSOC Primeユーザーも、サイバー脅威検索エンジンでZimbra関連の脅威を閲覧することで、洞察に満ちた文脈メタデータを探ることができます。「 Explore Threat Context 」ボタンをクリックし、関連するMITRE ATT&CKリファレンス、CVEの説明、より多くの文脈に富んだ情報、およびサブセカンドの検索パフォーマンス内で適用可能なシグマルールのリストを掘り下げてください。

Detect & Hunt Explore Threat Context

CVE-2022-27925 分析

に影響する認証バイパス欠陥 Zimbraメールプラットフォーム がかなりの混乱を引き起こしています。研究者によると、世界中で増加している悪用数は合計で1000以上の重要インフラエンティティ、中小企業、小型企業、および大企業のサーバーが侵害されています。しかし、研究者はこのZimbra RCEに影響を受けたシステムの実際の数はさらに多いことを示す証拠が増えています。

The Volexity 事件調査チームは、2022年7月から8月のZCS侵害に関する詳細なレポートを発表しました。この調査データによると、CVE-2022-27925の悪用には管理者の認証情報が必要であり、もう一つの認証脆弱性であるCVE-2022-37042が救いとなりました。これらの脆弱性が組み合わさることでの成功した悪用により、犯罪的ハッカーは特定の侵害されたサーバーにウェブシェルを配置し、侵害されたネットワーク内に足がかりを築けます。

ベンダーは、Zimbraバージョン8.8.15パッチ33または9.0.0パッチ26が脆弱だと判断しました。上記のセキュリティホールを埋めるためのソフトウェアアップデートはすでに利用可能です。

参加する SOC PrimeのDetection as Codeプラットフォーム に参加し、精選された検出コンテンツを備えた攻撃者に先手を打ち、現行および新興の脅威に対抗し、強化されたサイバー防御のための最先端機能を活用してください。検出コンテンツの作成で業界の専門知識に貢献しようとしていますか？ SOC PrimeのThreat Bountyプログラム の力を活用し、Detection EngineeringおよびThreat Huntingのスキルを収益化しつつ、より安全なサイバーの未来を一緒に築くため、600人を超えるコンテンツ寄稿者と協力しましょう。