Experten von Kaspersky haben entdeckt, dass die k\u00fcrzlich entdeckte Schwachstelle CVE-2022-41352 in der Software Zimbra Collaboration von unbekannten APT-Gruppen aktiv ausgenutzt wird. Mindestens eine dieser Gruppen greift anf\u00e4llige Server in Zentralasien an.<\/p>\n
Die Schwachstelle wurde im cpio-Archiv-Entpacker entdeckt, der vom Inhaltsscanner Amavis verwendet wird, der wiederum Teil der Zimbra Collaboration Suite ist. Ein Angreifer k\u00f6nnte ein sch\u00e4dliches .tar-Archiv erstellen, das eine Web-Shell enth\u00e4lt, und es an einen Server senden, auf dem die angreifbare Zimbra-Collaboration-Software ausgef\u00fchrt wird. Sobald der Amavis-Filter beginnt, dieses Archiv zu \u00fcberpr\u00fcfen, ruft er das Dienstprogramm cpio auf, um die Web-Shell in eines der \u00f6ffentlichen Verzeichnisse zu entpacken. Die Kriminellen starten dann einfach ihre eigene Web-Shell und f\u00fchren beliebige Befehle auf dem kompromittierten Server aus. Somit \u00e4hnelt diese Schwachstelle der im tarfile-Modul<\/a> enthaltenen Sicherheitsl\u00fccke.<\/p>\n Eine detaillierte technische Beschreibung der Schwachstelle finden Sie in unserem Securelist-Beitrag<\/a>. Unter anderem werden in diesem Artikel alle Verzeichnisse aufgelistet, in denen die Angreifer ihre eigene Web-Shell platziert haben.<\/p>\n Der Exploit f\u00fcr diese Schwachstelle wurde im Metasploit Framework integriert, was sie besonders gef\u00e4hrlich macht. Hierbei handelt es sich um eine Plattform, die theoretisch der Sicherheitsforschung und dem Pentesting dient, in Wirklichkeit aber h\u00e4ufig von Cyberkriminellen f\u00fcr Angriffe in freier Wildbahn eingesetzt wird. Der Exploit f\u00fcr CVE-2022-41352 kann deshalb auch von unerfahrenen Cyberkriminellen genutzt werden.<\/p>\n Am 14. Oktober hat Zimbra einen Patch mit allen notwendigen Installationsschritten ver\u00f6ffentlicht. Der erste logische Schritt ist deshalb die Installation des neuesten Updates, das Sie hier<\/a> finden k\u00f6nnen. Wenn Sie den Patch aus bestimmten Gr\u00fcnden nicht installieren k\u00f6nnen, steht ein Workaround zur Verf\u00fcgung: Der Angriff kann durch die Installation der pax-Utility auf verwundbaren Servern verhindert werden. In diesem Fall verwendet Amavis zum Entpacken von .tar-Archiven pax und nicht mehr l\u00e4nger cpio. Trotzdem sollten Sie bedenken, dass es sich hierbei nicht um eine echte L\u00f6sung des Problems handelt, denn theoretisch k\u00f6nnten Cyberkriminelle mit neuen cpio-Exploit-M\u00f6glichkeiten aufwarten.<\/p>\n Wenn Sie vermuten, dass Sie Opfer dieser Schwachstelle sein k\u00f6nnten oder eine Web-Shell in einem der auf Securelist aufgelisteten Verzeichnisse finden, empfehlen unsere Experten, Kontakt zu Spezialisten im Bereich Incident Response<\/a>\u00a0aufzunehmen. Es k\u00f6nnte sein, dass Angreifer bereits Zugriff auf andere Dienstkonten erlangt oder Backdoors installiert haben. So wird es ihnen erm\u00f6glicht, selbst bei erfolgreicher Entfernung der Web-Shell erneuten Zugriff auf die kompromittierten Systeme Erlangen.<\/p>\nSo sch\u00fctzen Sie sich<\/h2>\n