CISA警告：Zimbra RCE 漏洞正被积极利用

美国网络安全和基础设施安全局（CISA）在其“已知利用漏洞目录”中，增加了CVE-2022-27925漏洞和CVE-2022-37042漏洞。这两个高危漏洞和Zimbra Collaboration中的缺陷有关，CISA警告称，有证据表明这些漏洞被积极、大规模利用。

漏洞影响

这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。

1、漏洞CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复）

2、漏洞CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复）

Zimbra警告说，如果用户运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，那么受影响的用户应该尽快更新补丁。

关于利用这些漏洞进行攻击的信息，CISA方面并没有透露。但是，网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。简单来说，这些攻击涉及利用上述的身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。

Volexity表示，在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，在没有有效管理凭据的情况下，该漏洞可以被利用，从而提高了该漏洞的严重性。

同时，它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家有：美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。

Volexity说，CVE-2022-27925最初被列为需要身份验证的RCE漏洞，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。

漏洞会带来很多危害，可能会导致数据信息泄露，还可能会被攻击者利用进行攻击，篡改系统管理账户，篡改网页进行网站挂马等等。为了防止漏洞被不法分子利用，受漏洞影响的用户应该尽快更新安装新补丁，保护好网络安全，避免因为网络攻击造成不必要的损失。