A empresa de segurança cibernética Kaspersky detectou quase 900 servidores sendo comprometidos por invasores sofisticados que aproveitaram o crítico Zimbra Collaboration Suite (ZCS), que na época era um dia zero sem patch por quase 1.5 meses.
“Investigamos a ameaça e pudemos confirmar que grupos APT desconhecidos têm explorado ativamente esta vulnerabilidade, um dos quais está infectando sistematicamente todos os servidores vulneráveis na Ásia Central”, Kaspersky
Vulnerabilidade do Zimbra Collaboration Suite (ZCS)
A vulnerabilidade rastreada como (CVE-2022-41352) é uma falha de execução remota de código que permite que invasores enviem um e-mail com um anexo de arquivo malicioso que planta um web shell no servidor ZCS e, ao mesmo tempo, ignora as verificações de antivírus.
Os pesquisadores da Kaspersky afirmam que vários grupos de APT (ameaças persistentes avançadas) exploraram ativamente a falha logo após ela ter sido relatada nos fóruns do Zimbra.
Os relatórios dizem que uma prova de conceito para esta vulnerabilidade foi adicionada à estrutura do Metasploit, estabelecendo as bases para a exploração massiva e global, mesmo por invasores de baixa sofisticação.
Patch disponível para a vulnerabilidade
Zimbra lançou um patch para esta vulnerabilidade; Com versão ZCS 9.0.0 P27, substituindo o componente vulnerável (cpio) por Pax e removendo a parte fraca que possibilitava a exploração. Portanto, atualize seus dispositivos imediatamente.
Os pesquisadores afirmam que realizar a desinfecção no Zimbra é extremamente difícil, pois o invasor teve acesso a arquivos de configuração contendo senhas usadas por diversas contas de serviço.
Portanto, essas credenciais podem ser utilizadas para recuperar o acesso ao servidor caso o painel administrativo esteja acessível pela internet.
A Volexity afirmou que identificou aproximadamente 1.600 servidores ZCS que eles acreditam terem sido comprometidos por agentes de ameaças que aproveitaram o CVE-2022-41352 para plantar webshells.
Os relatórios dizem que os ataques iniciais começaram em setembro, visando servidores Zimbra vulneráveis na Índia e alguns na Turquia. Portanto, foi provavelmente uma onda de testes contra alvos de baixo interesse para avaliar a eficácia do ataque.
Notavelmente, a Kaspersky avaliou que os agentes da ameaça comprometeram 44 servidores durante esta onda inicial. Mais tarde, os agentes da ameaça começaram a realizar ataques em massa para comprometer o maior número de servidores em todo o mundo antes que os administradores corrigissem os sistemas e fechassem a porta aos intrusos.
Atualmente, a segunda onda teve um impacto maior, infectando 832 servidores com webshells maliciosos. Portanto, é recomendável atualizar seus dispositivos imediatamente.
Leia também: Baixe a Filtragem Segura da Web – Livre Livro eletrônico
