Cyberthreat.id – Kerentanan keamanan pada Zimbra secara aktif dieksploitasi untuk menyusup ke server email Zimbra Collaboration Suite (ZCS) di seluruh dunia.

Zimbra adalah platform email dan kolaborasi yang digunakan oleh lebih dari 200.000 bisnis dari lebih dari 140 negara, termasuk lebih dari 1.000 organisasi pemerintah dan keuangan.

Dikutip dari Bleeping Computer, firma intelijen ancaman Volexity, penyerang telah menyalahgunakan kesalahan eksekusi kode jarak jauh ZCS yang dilacak sebagai CVE-2022-27925 yang memerlukan otentikasi dengan bantuan bug bypass auth (dilacak sebagai CVE-2022-37042 dan ditambal kemarin) sedini mungkin. akhir Juni.

“Kami percaya kerentanan ini dieksploitasi dengan cara yang konsisten dengan apa yang dilihatnya dengan kerentanan zero day Microsoft Exchange yang ditemukan pada awal 2021,” kata peneliti dari Volexity.

Peneliti mengatakan, awalnya kerentanan ini dieksploitasi oleh aktor ancaman yang berorientasi spionase, tetapi kemudian diambil oleh aktor ancaman lain dan digunakan dalam upaya eksploitasi massal. Eksploitasi yang berhasil memungkinkan penyerang untuk menyebarkan cangkang web di lokasi tertentu di server yang disusupi untuk mendapatkan akses yang terus-menerus.

Sementara itu, dalam pernyataannya, Zimbra tidak mengungkapkan bahwa kerentanan ini berada di bawah eksploitasi aktif, seorang karyawan memperingatkan pelanggan di forum perusahaan untuk segera menerapkan tambalan karena mereka memang disalahgunakan dalam serangan.

"Jika Anda menjalankan versi Zimbra yang lebih lama dari Zimbra 8.8.15 patch 33 atau Zimbra 9.0.0 patch 26, Anda harus memperbarui ke patch terbaru sesegera mungkin," kata Zimbra dalam pernyataannya.

Setelah menemukan bukti selama beberapa tanggapan insiden bahwa server email Zimbra dibobol menggunakan CVE-2022-27925 RCE dengan bantuan bug bypass autentikasi CVE-2022-37042, Volexity memindai server yang diretas yang terpapar akses Internet. Untuk melakukan ini, peneliti menggunakan pengetahuan mereka tentang di mana pelaku ancaman memasang web shell di server.

"Melalui pemindaian ini, Volexity mengidentifikasi lebih dari 1.000 instance ZCS di seluruh dunia yang di-backdoor dan dikompromikan," tambah Volexity.

Volexity mengatakan bahwa semua temuannya telah dilaporkan ke Zimbra dan bahwa mereka juga Tim Tanggap Darurat Komputer (CERT) lokal yang dapat dihubungi dari instans Zimbra yang disusupi. Karena versi Zimbra terbaru (8.8.15 patch 33 dan 9.0.0 patch 26) ditambal terhadap RCE yang dieksploitasi secara aktif dan bug bypass autentikasi, admin harus segera menambal server mereka untuk memblokir serangan.

Namun, seperti yang diperingatkan Volexity, jika server yang rentan belum ditambal terhadap bug RCE (CVE-2022-27925) sebelum akhir Mei 2022, bahwa pengguna harus mempertimbangkan bahwa instance ZCS  dapat disusupi (dan dengan demikian semua data di dalamnya, termasuk konten email, dapat dicuri) dan melakukan analisis lengkap terhadap server.

Volexity menyarankan organisasi yang meyakini bahwa server email ZCS mereka telah disusupi, agar menyelidiki kemungkinan insiden atau membangun kembali instans ZCS mereka menggunakan patch terbaru dan mengimpor email dari server lama.