CVE-2022-27925 탐지: Zimbra Collaboration Suite에서 원격 코드 실행(RCE) 취약성의 대규모 악용

Zimbra Collaboration Suite (ZCS)에서 발견된 취약점에 대한 악용 시도가 우크라이나 국가 기관을 대상으로 한 사이버 스파이 캠페인 사례처럼 사이버 위협 영역에서 주목받고 있습니다. CVE-2018-6882 2022년 4월 중순에 우크라이나 국가 기관을 대상으로 사용되었습니다. 2022년 7월과 8월 동안, 사이버보안 연구자들은 ZCS 이메일 서버에 영향을 미친 일련의 보안 침해 사건을 조사하였고, 이러한 사건들의 원인으로 가능한 것은 CVE-2022-27925로 추적되는 원격 코드 실행 취약점(RCE)의 악용이라고 밝혔습니다.

Zimbra 이메일 서버에서 CVE-2022-27925 익스플로잇 시도 탐지

전 세계 수십만 개의 기업이 팀 간 협업을 위해 Zimbra를 사용하고 있기 때문에, 회사 제품에 영향을 미치는 보안 문제는 전 세계적으로 심각한 위협을 야기할 수 있습니다. Zimbra CVE-2022-27925 취약점을 악용한 잠재적 사이버 공격을 효과적으로 방어하기 위해, SOC 프라임 팀은 최근에 새로운 Sigma 규칙 을(를) Detection as Code 플랫폼에 출시했습니다. 사이버보안 실무자들은 관련 CVE를 위한 SOC 프라임의 사이버 위협 검색 엔진을 탐색하여 관련 맥락 정보와 함께 이 탐지를 즉시 액세스할 수 있습니다.

Zimbra 익스플로잇 패턴 가능성 [CVE-2022-27925] (웹을 통해)

전용 Sigma 규칙은 손상된 Zimbra 서버의 로그를 기반으로 하며 SOC 프라임 플랫폼에서 지원되는 18개의 SIEM, EDR, XDR 솔루션으로 자동 변환할 수 있습니다. 탐지는 MITRE ATT&CK® 프레임워크 의 초기 액세스 전술 및 해당 공개 애플리케이션 악용(T1190) 기법에 맞춰져 있습니다. 사이버보안 실무자들은 또한 자신의 SIEM 또는 EDR 환경에서 관련 위협을 즉시 검색하기 위해 이 Sigma 규칙을 적용할 수 있습니다. SOC 프라임의 퀵 헌트 모듈.

광범위하게 사용되는 Zimbra 제품에 영향을 미치는 새로운 위협에 앞서 나가기 위해 SOC 프라임 플랫폼에 제공된 전용 Sigma 규칙 키트를 활용하십시오. 탐지 및 헌트 버튼을 클릭하십시오. 등록되지 않은 SOC 프라임 사용자도 Zimbra 관련 위협에 대한 통찰력 있는 맥락 메타데이터를 사이버 위협 검색 엔진을 통해 탐색할 수 있습니다. 위협 맥락 탐색 버튼을 클릭하고 관련 MITRE ATT&CK 참조, CVE 설명 및 더 많은 맥락이 풍부한 정보, 해당 Sigma 규칙 목록과 함께 부분 초 단위의 검색 성능을 경험하십시오.

탐지 및 헌트 위협 맥락 탐색

CVE-2022-27925 분석

인증 우회 결함이 Zimbra 이메일 플랫폼 에 영향을 미치며 상당한 혼란을 일으키고 있습니다. 연구자들은 전 세계적으로 증가하고 있는 익스플로잇 수를 보고하고 있으며, 중요한 인프라 엔터티, SMB, 중소기업 및 대기업에 속한 1,000개 이상의 손상된 서버가 이에 해당합니다. 그러나 연구자들은 실제로 이 Zimbra RCE에 영향을 받은 시스템 수가 훨씬 더 많다는 점을 입증하는 증거가 증가하고 있습니다.

The Volexity 사고 연구 팀은 2022년 7월과 8월의 ZCS 침해를 상세히 설명한 포괄적인 작성물을 공개했습니다. 연구 데이터에 따르면 CVE-2022-27925는 익스플로잇을 위해 관리자 자격 증명이 필요했으며, 또 다른 인증 취약점인 CVE-2022-37042가 여기에 도움을 주었습니다. 이들 취약점의 성공적 악용을 통해 범죄자는 손상된 서버의 특정 위치에 웹 셸을 드롭하고 침해된 네트워크 내부에 발판을 마련할 수 있습니다.

Zimbra 버전 8.8.15 패치 33 또는 9.0.0 패치 26은 공급업체에 의해 취약한 것으로 간주되었습니다. 위의 모든 보안 문제를 해결하기 위한 소프트웨어 업데이트가 이미 제공되고 있습니다.

가입 SOC 프라임의 Detection as Code 플랫폼 과 같이 현재 및 새롭게 발생하는 위협에 맞서기 위한 정제된 탐지 콘텐츠와 첨단 사이버 방어 기능을 통해 공격자보다 앞서 나가십시오. 탐지 콘텐츠를 저술하여 집단 산업 전문 지식에 기여하고자 한다면? SOC 프라임의 위협 현상금 프로그램 의 힘을 활용하여 탐지 엔지니어링 및 위협 사냥 기술을 수익화하면서 더 안전한 사이버 미래를 함께 구축하기 위해 600명 이상의 콘텐츠 기고자와 협력하십시오.