[TLP:WYCZYŚĆ]

 

1. Dzięki partnerstwu z CSIRTAmericas CTIR Gov otrzymał raporty o atakach wykorzystujących szereg krytycznych luk w zabezpieczeniach zidentyfikowanych w przypadkach pakietu Zimbra Collaboration Suite. Luki mają następujące CVE:

 

 

CVE-2022-41352: Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, która umożliwia osobie atakującej zdalne wykorzystanie specjalnie spreparowanego pliku w celu wykonania złośliwego kodu na serwerze. Połączyć:

• https://nvd.nist.gov/vuln/detail/CVE-2022-41352

CVE-2022-27924: Luka w zabezpieczeniach typu Cross-site scripting (XSS), która umożliwia wstrzykiwanie złośliwych skryptów. Połączyć:

• https://nvd.nist.gov/vuln/detail/CVE-2022-27924

CVE-2022-27925: Luka w zabezpieczeniach umożliwiająca wyciek informacji, w przypadku której osoba atakująca może ujawnić poufne informacje, w tym dane uwierzytelniające użytkownika, w wyniku luki w ochronie danych.

• https://nvd.nist.gov/vuln/detail/CVE-2022-27925

CVE-2022-37042: Luka w zabezpieczeniach związana z nieprawidłowym uwierzytelnianiem umożliwia osobie atakującej uzyskanie nieautoryzowanego dostępu do instancji ZCS, których dotyczy problem.

• https://nvd.nist.gov/vuln/detail/CVE-2022-37042

2. Analiza ataków pozwoliła nam stwierdzić, że po włamaniu na serwer Zimbra złośliwi agenci przeprowadzają ataki brute-force na SSH i aplikacje internetowe, a także próbują wykorzystać inne luki w sieci, próbując wdrożyć trwałe dostęp i inne działania.

 

3. Wśród wskaźników kompromisu (IoC) można wyróżnić:

• obecność złośliwych skryptów w katalogach /etc/php/php.ini, /var/tmp/php.ini i /tmp/;
• nierozpoznane klucze publiczne w katalogu /root/.ssh/Authorized_keys;
• obecność złośliwych artefaktów w katalogach Zimbra z rozszerzeniem „*.jsp”, takich jak „heartbeat.jsp”, „temp.jsp”, „Startup1_3.jsp”, „Startup1_5.jsp”, „bak.jsp” i „info. jsp”;
• obecność plików bez rozszerzenia lub z rozszerzeniem „*.txt” w katalogach /opt/zimbra/, /tmp/ i /var/tmp/, w wyniku aktywności skanowania przez zautomatyzowane narzędzia; To jest
• połączenia z adresem IP 206.188.197.227

4. Inne procedury identyfikacji oznak kompromisu można uzyskać od:

• https://blog.zimbra.com/2023/04/10-kroków-to-check-zimbra-server-for-compromise/

4.1. W przypadkach, w których stwierdzony zostanie kompromis, sugeruje się przeprowadzenie procedur opisanych w:

• https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

 

5. Rządowe Centrum Zapobiegania, Leczenia i Reagowania na Incydenty Cybernetyczne (CTIR Gov) zwraca się do instytucji Federalnej Administracji Publicznej (APF) i pomaga innym podmiotom/instytucjom identyfikować podatne systemy, za które odpowiadają, i pilnie zastosować poprawki dostępne na stronie internetowej opiekuna:

• https://wiki.zimbra.com/wiki/Security_Center

6. Wzmacniamy konsultacje w sprawie następujących ostrzeżeń i zaleceń wydanych przez CTIR Gov:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/alertas/2022/alerta-20-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-03-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2023/recomendacao-08-2023
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-17-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-38-2022

7. CTIR Gov przestrzega standardu protokołu sygnalizacji świetlnej (TLP) zgodnie z definicją Forum Zespołów Reagowania na Incydenty i Bezpieczeństwa (FIRST). Aby uzyskać dostęp do większej ilości informacji:

• https://www.gov.br/ctir/pt-br/assuntos/tlp

 

Zespół zarządzający CTIR.

 

 

[TLP:WYCZYŚĆ]