La Agencia de Seguridad de Infraestructura y Ciberseguridad ( CISA ) y el Centro de Análisis e Intercambio de Información Multiestatal ( MS-ISAC ) están publicando este Aviso de Seguridad Cibernética (CSA) conjunto en respuesta a la explotación activa de múltiples Vulnerabilidades y Exposiciones Comunes (CVE) contra Zimbra Collaboration Suite (ZCS), una plataforma de correo electrónico y software de colaboración alojado en la nube empresarial. Los CVE actualmente explotados contra ZCS incluyen: 

• CVE-2022-24682 
• CVE-2022-27924 
• CVE-2022-27925 encadenado con CVE-2022-37042 
• CVE-2022-30333

Los actores de amenazas cibernéticas pueden estar apuntando a instancias ZCS sin parches en redes gubernamentales y del sector privado. CISA y MS-ISAC recomiendan enfáticamente a los usuarios y administradores que apliquen la guía en la sección de Recomendaciones de este CSA para ayudar a proteger los sistemas de su organización contra la actividad cibernética maliciosa. CISA y MS-ISAC alientan a las organizaciones que no actualizaron inmediatamente sus instancias de ZCS tras el lanzamiento del parche, o cuyas instancias de ZCS estuvieron expuestas a Internet, a asumir compromisos y buscar actividades maliciosas utilizando las firmas de detección de terceros en la sección Métodos de detección. de esta CSA. Las organizaciones que detecten un compromiso potencial deben aplicar los pasos de la sección Respuesta a incidentes de este CSA.

Descargue la versión PDF de este informe: pdf, 355 kb

Detalles técnicos

CVE-2022-27924

CVE-2022-27924 es una vulnerabilidad de alta gravedad que permite a un actor malicioso no autenticado inyectar comandos arbitrarios de Memcache en una instancia de ZCS específica y provocar una sobrescritura de entradas arbitrarias en caché. Luego, el actor puede robar las credenciales de la cuenta de correo electrónico de ZCS en forma de texto claro sin ninguna interacción del usuario. Con credenciales de cuenta de correo electrónico válidas en una organización que no aplica la autenticación multifactor (MFA), un actor malintencionado puede usar ataques de phishing selectivo, ingeniería social y compromiso de correo electrónico comercial (BEC) contra la organización comprometida. Además, los actores maliciosos podrían usar las credenciales de cuenta válidas para abrir webshells y mantener un acceso persistente.

El 11 de marzo de 2022, investigadores de SonarSource anunciaron el descubrimiento de esta vulnerabilidad ZCS. Zimbra emitió correcciones para las versiones 8.8.15 y 9.0 el 10 de mayo de 2022. En junio de 2022, SonarSource lanzó públicamente explotaciones de prueba de concepto (POC) para esta vulnerabilidad.[ 1 ][ 2 ] Basado en evidencia de explotación activa, CISA agregó esta vulnerabilidad al Catálogo de vulnerabilidades explotadas conocidas el 4 de agosto de 2022. Debido a la POC y la facilidad de explotación, CISA y MS-ISAC esperan ver una explotación generalizada de instancias ZCS sin parches en redes gubernamentales y privadas.

CVE-2022-27925 y CVE-2022-37042

CVE-2022-27925 es una vulnerabilidad de alta gravedad en las versiones 8.8.15 y 9.0 de ZCS que tiene la mboximportfuncionalidad de recibir un archivo ZIP y extraer archivos de él. Un usuario autenticado tiene la capacidad de cargar archivos arbitrarios en el sistema, lo que conduce al cruce de directorios. [ 3 ] El 10 de agosto de 2022, los investigadores de Volexity informaron sobre la explotación generalizada, en más de 1000 instancias ZCS, de CVE-2022-27925 junto con CVE-2022-37042.[ 4 ] CISA agregó ambos CVE al Catálogo de Vulnerabilidades Explotadas Conocidas el 11 de agosto de 2022. 

CVE-2022-37042 es una vulnerabilidad de omisión de autenticación que afecta a las versiones 8.8.15 y 9.0 de ZCS. CVE-2022-37042 podría permitir que un actor malicioso no autenticado acceda a una instancia ZCS vulnerable. Según Zimbra, CVE-2022-37042 se encuentra en la MailboxImportServletfunción.[ 5 ][ 6 ] Zimbra emitió correcciones a fines de julio de 2022.

CVE-2022-30333

CVE-2022-30333 es una vulnerabilidad transversal de directorio de alta gravedad en RARLAB UnRAR en Linux y UNIX que permite a un actor malicioso escribir en archivos durante una operación de extracción (desempaquetado). Un actor malicioso puede explotar CVE-2022-30333 contra un servidor ZCS enviando un correo electrónico con un archivo RAR malicioso. Al recibir el correo electrónico, el servidor ZCS extraería automáticamente el archivo RAR para verificar si hay spam o malware. [ 7 ] Cualquier instancia de ZCS unrarinstalada es vulnerable a CVE-2022-30333.

Investigadores de SonarSource compartieron detalles sobre esta vulnerabilidad en junio de 2022.[ 8 ] Zimbra realizó cambios de configuración para usar el 7zipprograma en lugar de unrar.[ 9 ] CISA agregó CVE-2022-3033 al Catálogo de Vulnerabilidades Explotadas Conocidas el 9 de agosto de 2022. Basado en informes de la industria, un actor cibernético malicioso está vendiendo un kit de explotación de secuencias de comandos entre sitios (XSS) para la vulnerabilidad ZCS a CVE 2022 30333. También está disponible un módulo Metasploit que crea un archivo RAR que se puede enviar por correo electrónico a un servidor ZCS para explotar CVE -2022-30333.[ 10 ]

CVE-2022-24682

CVE-2022-24682 es una vulnerabilidad de gravedad media que afecta a los clientes de correo web ZCS que ejecutan versiones anteriores a la 8.8.15 parche 30 (actualización 1), que contiene una vulnerabilidad de secuencias de comandos entre sitios (XSS) que permite a los actores maliciosos robar archivos de cookies de sesión. Los investigadores de Volexity compartieron esta vulnerabilidad el 3 de febrero de 2022[11] y Zimbra emitió una solución el 4 de febrero de 2022.[12] CISA agregó esta vulnerabilidad al Catálogo de vulnerabilidades explotadas conocidas el 25 de febrero de 2022. 

MÉTODOS DE DETECCIÓN

Nota: CISA y MS-ISAC actualizarán esta sección con IOC y firmas adicionales a medida que haya más información disponible. 
CISA recomienda a los administradores, especialmente en organizaciones que no actualizaron inmediatamente sus instancias de ZCS tras el lanzamiento del parche, que busquen actividad maliciosa utilizando las siguientes firmas de detección de terceros:

• Caza de IOC que incluyen:
  • 207.148.76[.]235 – un dominio de mando y control (C2) de Cobalt Strike
• Implemente reglas YARA de terceros para detectar actividad maliciosa:
  • Ver la explotación masiva de Volexity de Zimbra RCE (no) autenticado: CVE-2022-27925

Mitigaciones

CISA y MS-ISAC recomiendan que las organizaciones actualicen a las últimas versiones de ZCS, como se indica en Zimbra Security: News & Alerts y Zimbra Security Advisories .

Consulte Explotación masiva de Volexity de Zimbra RCE (no) autenticado: CVE-2022-27925 para conocer los pasos de mitigación.

Además, CISA y MS-ISAC recomiendan que las organizaciones apliquen las siguientes mejores prácticas para reducir el riesgo de compromiso:

• Mantener y probar un plan de respuesta a incidentes.
• Asegúrese de que su organización cuente con un programa de administración de vulnerabilidades y que priorice la administración de parches y el análisis de vulnerabilidades de las vulnerabilidades explotadas conocidas . Nota: Los servicios de ciberhigiene (CyHy) de CISA son gratuitos para todas las organizaciones estatales, locales, tribales y territoriales (SLTT), así como para las organizaciones de infraestructura crítica del sector público y privado: cisa.gov/cyber-hygiene-services . 
• Configure y asegure correctamente los dispositivos de red orientados a Internet.
  • No exponga las interfaces de administración a Internet.
  • Deshabilite los puertos y protocolos de red no utilizados o innecesarios.
  • Deshabilite/elimine los servicios y dispositivos de red no utilizados.
• Adopte los principios y la arquitectura de confianza cero , que incluyen:
  • Redes de microsegmentación y funciones para limitar o bloquear movimientos laterales.
  • Hacer cumplir la autenticación multifactor (MFA) resistente al phishing para todos los usuarios y conexiones VPN.
  • Restricción del acceso a dispositivos y usuarios de confianza en las redes.

RESPUESTA AL INCIDENTE

Si el sistema de una organización se ha visto comprometido por actores de amenazas activos o recientemente activos en su entorno, CISA y MS-ISAC recomiendan los siguientes pasos iniciales:

1. Recopile y revise artefactos , como procesos/servicios en ejecución, autenticaciones inusuales y conexiones de red recientes.
2. Ponga en cuarentena o desconecte los hosts potencialmente afectados .
3. Vuelva a crear la imagen de los hosts comprometidos .
4. Aprovisionar nuevas credenciales de cuenta .
5. Informe el compromiso a CISA a través del Centro de operaciones 24/7 de CISA ( report@cisa.gov o 888-282-0870). Las entidades gubernamentales SLTT también pueden informar al MS-ISAC ( SOC@cisecurity.org o 866-787-4722).

Consulte el CSA conjunto de las autoridades de seguridad cibernética de Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre enfoques técnicos para descubrir y remediar actividades maliciosas para obtener orientación adicional sobre la búsqueda o investigación de una red y errores comunes en el manejo de incidentes. . CISA y MS-ISAC también alientan a los administradores de redes gubernamentales a consultar los Libros de estrategias de respuesta a vulnerabilidades e incidentes de seguridad cibernética del gobierno federal de CISA . Aunque adaptados a las agencias de la rama civil federal, estos libros de jugadas proporcionan procedimientos operativos para planificar y llevar a cabo actividades de respuesta a incidentes y vulnerabilidades de seguridad cibernética y detallan los pasos para la respuesta a incidentes y vulnerabilidades. 

fuente: cisa[.]gov