[TLP:WYCZYŚĆ]
1. Dzięki partnerstwu z CSIRTAmericas CTIR Gov otrzymał raporty o atakach wykorzystujących szereg krytycznych luk w zabezpieczeniach zidentyfikowanych w przypadkach pakietu Zimbra Collaboration Suite. Luki mają następujące CVE:
CVE-2022-41352: Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, która umożliwia osobie atakującej zdalne wykorzystanie specjalnie spreparowanego pliku w celu wykonania złośliwego kodu na serwerze. Połączyć:
CVE-2022-27924: Luka w zabezpieczeniach typu Cross-site scripting (XSS), która umożliwia wstrzykiwanie złośliwych skryptów. Połączyć:
CVE-2022-27925: Luka w zabezpieczeniach umożliwiająca wyciek informacji, w przypadku której osoba atakująca może ujawnić poufne informacje, w tym dane uwierzytelniające użytkownika, w wyniku luki w ochronie danych.
CVE-2022-37042: Luka w zabezpieczeniach związana z nieprawidłowym uwierzytelnianiem umożliwia osobie atakującej uzyskanie nieautoryzowanego dostępu do instancji ZCS, których dotyczy problem.
2. Analiza ataków pozwoliła nam stwierdzić, że po włamaniu na serwer Zimbra złośliwi agenci przeprowadzają ataki brute-force na SSH i aplikacje internetowe, a także próbują wykorzystać inne luki w sieci, próbując wdrożyć trwałe dostęp i inne działania.
3. Wśród wskaźników kompromisu (IoC) można wyróżnić:
- obecność złośliwych skryptów w katalogach /etc/php/php.ini, /var/tmp/php.ini i /tmp/;
- nierozpoznane klucze publiczne w katalogu /root/.ssh/Authorized_keys;
- obecność złośliwych artefaktów w katalogach Zimbra z rozszerzeniem „*.jsp”, takich jak „heartbeat.jsp”, „temp.jsp”, „Startup1_3.jsp”, „Startup1_5.jsp”, „bak.jsp” i „info. jsp”;
- obecność plików bez rozszerzenia lub z rozszerzeniem „*.txt” w katalogach /opt/zimbra/, /tmp/ i /var/tmp/, w wyniku aktywności skanowania przez zautomatyzowane narzędzia; To jest
- połączenia z adresem IP 206.188.197.227
4. Inne procedury identyfikacji oznak kompromisu można uzyskać od:
4.1. W przypadkach, w których stwierdzony zostanie kompromis, sugeruje się przeprowadzenie procedur opisanych w:
5. Rządowe Centrum Zapobiegania, Leczenia i Reagowania na Incydenty Cybernetyczne (CTIR Gov) zwraca się do instytucji Federalnej Administracji Publicznej (APF) i pomaga innym podmiotom/instytucjom identyfikować podatne systemy, za które odpowiadają, i pilnie zastosować poprawki dostępne na stronie internetowej opiekuna:
6. Wzmacniamy konsultacje w sprawie następujących ostrzeżeń i zaleceń wydanych przez CTIR Gov:
7. CTIR Gov przestrzega standardu protokołu sygnalizacji świetlnej (TLP) zgodnie z definicją Forum Zespołów Reagowania na Incydenty i Bezpieczeństwa (FIRST). Aby uzyskać dostęp do większej ilości informacji:
Zespół zarządzający CTIR.
[TLP:WYCZYŚĆ]