Analisi delle vulnerabilità attivamente sfruttate per Zimbra Collaboration

Vai ai contenuti

Analisi delle vulnerabilità attivamente sfruttate per Zimbra Collaboration

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 14 Novembre 2022
Tags: #bug#sicurezza#Zimbra
Analisi delle vulnerabilità attivamente sfruttate per Zimbra Collaboration


Zimbra
CVE-2022-27924
CVE-2022-27925
CVE-2022-37042
CVE-2022-30333
CVE-2022-24682


Descrizione
Con riferimento a quanto recentemente pubblicato da questo CSIRT, la Cybersecurity and Infrastructure Security Agency (CISA) ed il Multi-State Information Sharing & Analysis Center (MS-ISAC) hanno recentemente rilasciato un Cybersecurity Advisory (CSA) congiunto per evidenziare una lista di recenti vulnerabilità sfruttate attivamente in rete relative al prodotto Zimbra Collaboration (ZCS) nelle versioni 8.8.15 e/o 9.0.

CVE-2022-27924

La vulnerabilità (BL01/220616/CSIRT-ITA) - con score CVSS v3 pari a 7.5, sanata dal vendor a maggio 2022 – di tipo “Command Injection”, consentirebbe ad un attaccante di eseguire codice arbitrario e, attraverso Memcached poisoning, acquisire le credenziali degli utenti attestati sulla specifica istanza Zimbra.

CVE-2022-27925 e CVE-2022-37042

Le vulnerabilità (AL05/220811/CSIRT-ITA), rispettivamente con score CVSS v3 pari a 7.2 e 9.8, risultano sanate dal vendor tra marzo e luglio 2022.

La prima, di tipo “Directory Traversal”, potrebbe permettere ad un utente malintenzionato remoto di eseguire codice arbitrario su istanze vulnerabili tramite il caricamento di file ".ZIP" opportunamente predisposti.

La seconda, di tipo “Authentication Bypass”, consente e facilita il corretto sfruttamento della precedente vulnerabilità.

CVE-2022-30333

La vulnerabilità - con score CVSS v3 pari a 7.5, sanata dal vendor a giugno 2022 – di tipo “Directory Traversal”, interessa l’utility “UnRAR” (per Linux UNIX) di RARlab utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis, il quale decomprime e analizza eventuali archivi allegati presenti in un messaggio in entrata.

Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo remoto l’esecuzione di codice arbitrario, su sistemi che implementano una versione non aggiornata del codice binario, tramite l’invio di allegati ".RAR" opportunamente predisposti.

CVE-2022-24682

La vulnerabilità - con score CVSS v3 pari a 6.1, presente nella versione 8.8.15 di ZCS sanata dal vendor a febbraio 2022 – di tipo “Cross Site Scripting”, potrebbe consentire ad un utente malintezionato remoto di ottenere copia dei cookie di autenticazione della vittima.

Azioni di mitigazione
In linea con le dichiarazioni del vendor e ove non già provveduto, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni riportate nelle precedenti pubblicazioni di questo CSIRT, disponibili nella sezione Riferimenti.

Gli utenti e le organizzazioni possono far fronte alle tipologie di attacchi descritte attivando le seguenti misure preventive:

   revisionare costantemente il proprio Incident Response Plan;
   prevedere l’implementazione di un programma di Vulnerability Management all’interno della propria organizzazione;
   non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;
   permettere il raggiungimento della risorsa, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione);
   utilizzare opportuni sistemi di accesso remoto sicuri - come servizi VPN - per esporre servizi non strettamente essenziali sulla rete.
   utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege).

Aggiornamento del 11/11/2022
Si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) presenti all’interno del Cybersecurity Advisory, seguendo le indicazioni fornite dal CISA.
Azioni di risposta agli incidenti

Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:

   collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticane considerati non convenzionali;
   porre in quarantena e/o offline gli host potenzialmente interessati dalla compromissione;
   ripristinare gli host compromessi ad un'immagine precedente consistente (dopo aver espletato le necessarie attività forensi);
   resettare gli account degli utenti interessati dalla compromissione;
   segnalare tempestivamente a questo CSIRT, tramite il portale https://www.csirt.gov.it/segnalazione l’evento occorso.

Riferimenti

https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2022-27925-in-zimbra-collaboration-al05-220811-csirt-ita

https://www.csirt.gov.it/contenuti/rilasciato-poc-per-la-vulnerabilita-cve-2022-27924-su-zimbra-collaboration-suite-bl01-220616-csirt-ita

https://www.cisa.gov/uscert/ncas/alerts/aa22-228a

https://wiki.zimbra.com/wiki/Security_Center



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti