CVE-2022-27925 Detection: Mass Exploitation of Remote Code Execution (RCE) Vulnerability in Zimbra Collaboration Suite
Índice:
Tentativas de exploração de vulnerabilidades encontradas no Zimbra Collaboration Suite (ZCS) estão ganhando destaque na arena de ameaças cibernéticas, como no caso da CVE-2018-6882 usada em uma campanha de ciberespionagem direcionada contra órgãos estatais ucranianos em meados de abril de 2022. Ao longo de julho e agosto de 2022, pesquisadores de segurança cibernética estavam investigando uma série de violações de segurança que afetavam os servidores de e-mail do ZCS e descobriram que a provável causa desses incidentes foi a exploração de uma vulnerabilidade de execução remota de código (RCE) rastreada como CVE-2022-27925.
Detectar tentativas de exploração CVE-2022-27925 em Servidores de E-mail Zimbra
Como centenas de milhares de empresas em todo o mundo usam o Zimbra para colaboração entre equipes, problemas de segurança que afetam os produtos da empresa representam uma ameaça séria em escala global. Para permitir que as organizações defendam-se efetivamente contra potenciais ataques cibernéticos explorando a vulnerabilidade Zimbra CVE-2022-27925, a equipe SOC Prime lançou recentemente uma nova regra Sigma disponível em nossa plataforma Detection as Code. Profissionais de cibersegurança também podem acessar instantaneamente essa detecção acompanhada de informações contextuais relevantes navegando no Mecanismo de Busca de Ameaças Cibernéticas da SOC Prime para CVE relacionado:
Possíveis Padrões de Exploração do Zimbra [CVE-2022-27925] (via web)
A regra Sigma dedicada é baseada em logs de servidores Zimbra comprometidos e pode ser convertida automaticamente para 18 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime. A detecção está alinhada com o framework MITRE ATT&CK® abordando a tática de Acesso Inicial e a técnica correspondente de Exploração de Aplicativos Expostos ao Público (T1190). Profissionais de cibersegurança também podem aplicar esta regra Sigma para pesquisar instantaneamente ameaças relacionadas em seu ambiente SIEM ou EDR usando o módulo Quick Hunt da SOC Prime.
Para se antecipar às ameaças emergentes que afetam produtos Zimbra amplamente utilizados, aproveite o kit de regras Sigma dedicado disponível na plataforma SOC Prime, clicando no botão Detectar & Caçar abaixo. Usuários não registrados do SOC Prime também podem explorar metadados contextuais perspicazes navegando no Mecanismo de Busca de Ameaças Cibernéticas para ameaças relacionadas ao Zimbra. Basta clicar no botão Explorar Contexto de Ameaças e aprofundar-se em referências relevantes do MITRE ATT&CK, descrições de CVE e mais informações enriquecidas com contexto, juntamente com uma lista de regras Sigma aplicáveis dentro de uma performance de busca de sub-segundo.
Detectar & Caçar Explorar Contexto de Ameaças
Análise CVE-2022-27925
Uma falha de bypass de autenticação que afeta a plataforma de e-mail Zimbra está causando bastante agitação. Pesquisadores relatam o número crescente de explorações em todo o mundo, totalizando mais de 1000 servidores comprometidos pertencentes a entidades de infraestrutura crítica, PMEs e grandes empresas. Ainda assim, os pesquisadores enfrentam evidências crescentes de que o número real de sistemas afetados por este RCE do Zimbra é muito maior.
The A equipe de pesquisa de incidentes da Volexity lançou um artigo abrangente detalhando as violações do ZCS em julho-agosto de 2022. De acordo com os dados da pesquisa, o CVE-2022-27925 exigia credenciais de admin para exploração: outra vulnerabilidade de autenticação rastreada como CVE-2022-37042 veio para o resgate. A exploração bem-sucedida dessas vulnerabilidades combinadas permite que hackers criminosos implantem web shells em locais específicos nos servidores comprometidos e estabeleçam uma posição dentro da rede violada.
As versões do Zimbra 8.8.15 patch 33 ou 9.0.0 patch 26 foram consideradas vulneráveis pelo fornecedor. As atualizações de software para corrigir todas as falhas de segurança mencionadas acima já estão disponíveis.
Junte-se à plataforma Detection as Code da SOC Prime para se antecipar aos atacantes equipados com conteúdo de detecção curado para combater ameaças atuais e emergentes junto com capacidades de ponta para uma defesa cibernética aprimorada. Deseja fazer sua própria contribuição para o conhecimento coletivo da indústria ao criar conteúdo de detecção? Aproveite o poder do Programa de Recompensa de Ameaças da SOC Prime e una forças com mais de 600 contribuintes de conteúdo para ajudar a construir um futuro cibernético mais seguro juntos enquanto monetiza suas habilidades de Engenharia de Detecção e Caça de Ameaças.
