Upatchede Zimbra-platforme er sandsynligvis kompromitteret

Angribere forsøger at udnytte flere sårbarheder i Zimbra-systemer. Det skriver Dark Reading med henvisning til en opdatering af en ’alert’, som CISA udsendte i august. Også CFSC har publiceret et varsel om sårbarhederne.

I Dark Readings artikel hedder det, at virksomheder, der kører upatchede, internetforbundne Zimbra Collaboration Suites (ZCS) må gå ud fra, at de allerede er blevet kompromitteret. Selve udnyttelsen kan ske ved at kæde en række sårbarheder (CVE-2022-24682, CVE-2022-27924 og CVE-2022-27925) sammen med andre (CVE-2022-37042 og CVE-2022-30333). Angrebene fører til fjernafvikling af kode og adgang til Zimbra-platformen, dvs. kompromittering af oplysninger som fx. emails og evt. kompromittering af tilgængelighed.

Indicators of compromise (IOC’er) fremgår af CISAs alert.

Brugere og administratorer opfordres kraftigt til at opdatere deres systemer.

Links:

https://www.darkreading.com/threat-intelligence/unpatched-zimbra-platforms-probably-compromised-cisa-says

https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisa-updates-advisory-threat-actors-exploiting-multiple-cves

https://www.cfcs.dk/da/handelser/varsler/sarbarhed-i-zimbra-collaboration-suite/

https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27

https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/