Schwachstelle in Zimbra wird aktiv ausgenutzt

Server mit installierter Zimbra Collaboration Suite werden über ein Entpacker-Tool angegriffen.

Experten von Kaspersky haben entdeckt, dass die kürzlich entdeckte Schwachstelle CVE-2022-41352 in der Software Zimbra Collaboration von unbekannten APT-Gruppen aktiv ausgenutzt wird. Mindestens eine dieser Gruppen greift anfällige Server in Zentralasien an.

Was ist CVE-2022-41352 und was macht sie so gefährlich?

Die Schwachstelle wurde im cpio-Archiv-Entpacker entdeckt, der vom Inhaltsscanner Amavis verwendet wird, der wiederum Teil der Zimbra Collaboration Suite ist. Ein Angreifer könnte ein schädliches .tar-Archiv erstellen, das eine Web-Shell enthält, und es an einen Server senden, auf dem die angreifbare Zimbra-Collaboration-Software ausgeführt wird. Sobald der Amavis-Filter beginnt, dieses Archiv zu überprüfen, ruft er das Dienstprogramm cpio auf, um die Web-Shell in eines der öffentlichen Verzeichnisse zu entpacken. Die Kriminellen starten dann einfach ihre eigene Web-Shell und führen beliebige Befehle auf dem kompromittierten Server aus. Somit ähnelt diese Schwachstelle der im tarfile-Modul enthaltenen Sicherheitslücke.

Eine detaillierte technische Beschreibung der Schwachstelle finden Sie in unserem Securelist-Beitrag. Unter anderem werden in diesem Artikel alle Verzeichnisse aufgelistet, in denen die Angreifer ihre eigene Web-Shell platziert haben.

Der Exploit für diese Schwachstelle wurde im Metasploit Framework integriert, was sie besonders gefährlich macht. Hierbei handelt es sich um eine Plattform, die theoretisch der Sicherheitsforschung und dem Pentesting dient, in Wirklichkeit aber häufig von Cyberkriminellen für Angriffe in freier Wildbahn eingesetzt wird. Der Exploit für CVE-2022-41352 kann deshalb auch von unerfahrenen Cyberkriminellen genutzt werden.

So schützen Sie sich

Am 14. Oktober hat Zimbra einen Patch mit allen notwendigen Installationsschritten veröffentlicht. Der erste logische Schritt ist deshalb die Installation des neuesten Updates, das Sie hier finden können. Wenn Sie den Patch aus bestimmten Gründen nicht installieren können, steht ein Workaround zur Verfügung: Der Angriff kann durch die Installation der pax-Utility auf verwundbaren Servern verhindert werden. In diesem Fall verwendet Amavis zum Entpacken von .tar-Archiven pax und nicht mehr länger cpio. Trotzdem sollten Sie bedenken, dass es sich hierbei nicht um eine echte Lösung des Problems handelt, denn theoretisch könnten Cyberkriminelle mit neuen cpio-Exploit-Möglichkeiten aufwarten.

Wenn Sie vermuten, dass Sie Opfer dieser Schwachstelle sein könnten oder eine Web-Shell in einem der auf Securelist aufgelisteten Verzeichnisse finden, empfehlen unsere Experten, Kontakt zu Spezialisten im Bereich Incident Response aufzunehmen. Es könnte sein, dass Angreifer bereits Zugriff auf andere Dienstkonten erlangt oder Backdoors installiert haben. So wird es ihnen ermöglicht, selbst bei erfolgreicher Entfernung der Web-Shell erneuten Zugriff auf die kompromittierten Systeme Erlangen.

Sicherheitslösungen von Kaspersky entdecken und blockieren Versuche, die Schwachstelle CVE-2022-41352 auszunutzen, erfolgreich.

Tipps