Zimbra发布了其协作套件中主动利用漏洞的修补程序

Zimbra发布了修补程序，以包含其企业协作套件中一个主动利用的安全漏洞，该漏洞可用于将任意文件上传到易受攻击的实例。

该问题被追踪为CVE-2022-41352（CVSS评分：9.8），它影响了Zimbra套件中名为Amavis的组件，Amavis是一个开源内容过滤器，更具体地说，它用于扫描和提取存档的cpio实用程序。

反过来，据说该漏洞源于另一个底层漏洞（CVE-2015-1197），该漏洞于2015年初首次公开，根据Flashpoint的说法，该漏洞已被纠正，但随后在后来的Linux发行版中被恢复。

Zimbra在上周发布的一份咨询中表示：“攻击者可以使用cpio包来获得对任何其他用户帐户的不正确访问”。

修复程序在以下版本中可用：

• Zimbra 9.0.0补丁27
• Zimbra 8.8.15补丁34

对手想要将这一缺点武器化，只需发送一封带有精心制作的TAR存档附件的电子邮件，收到后，将其提交给Amavis，Amavis使用cpio模块触发攻击。

网络安全公司卡巴斯基（Kaspersky）披露，未知的APT组织一直在积极利用这一漏洞，其中一名参与者“系统地感染了中亚所有易受攻击的服务器”。

这些攻击在9月初和9月下旬分两个攻击波展开，主要针对该地区的政府实体，滥用最初的立足点，在受损的服务器上投放网络外壳，以进行后续活动。

根据事件响应公司Volexity提供的信息，估计大约1600台Zimbra服务器在其所谓的“目标攻击和机会攻击的混合”中受到感染

该公司在一系列推文中表示：“一些网络外壳路径[…]被用于针对（可能是APT）政府、电信和IT领域的关键组织，主要是在亚洲；另一些被用于大规模的全球开发”。