Zimbra Collaboration Suite ha ospitato una vulnerabilità zero-day per più di un mese, offrendo agli hacker una vera e propria giornata campale che ha portato alla violazione di quasi 900 server (apri una nuova scheda). I ricercatori di Kaspersky hanno notato che la vulnerabilità è stata segnalata sul forum di Zimbra, dopodiché tutti i tipi di gruppi di minacce persistenti avanzate (APT) l’hanno sfruttata per compromettere innumerevoli server. Kaspersky ha etichettato la falla come una vulnerabilità di esecuzione di codice remoto che consente agli attori delle minacce di inviare un’e-mail con un file dannoso che implementa una webshell nel server Zimbra senza attivare un allarme antivirus. La vulnerabilità è ora classificata come CVE-2022-41352. Alcuni ricercatori sostengono che siano stati compromessi ben 1.600 server.
I ricercatori hanno successivamente dichiarato che almeno 876 server sono stati compromessi prima che venisse condiviso un workaround e rilasciata una patch. Tuttavia, quasi due mesi dopo la segnalazione iniziale, e proprio mentre Zimbra era pronta a rilasciare una correzione, Volexity ha dichiarato di aver contato circa 1.600 server compromessi. Zimbra ha quindi rilasciato la patch, portando la sua suite di collaborazione alla versione 9.0.0 P27. In essa, l’azienda ha sostituito il componente difettoso (cpio) con Pax e ha rimosso il codice sfruttabile. I primi attacchi sono iniziati nel settembre 2022, prendendo di mira server in India e Turchia. Le prime incursioni sono state effettuate contro obiettivi “a basso interesse”, inducendo i ricercatori a concludere che gli hacker stavano semplicemente testando le capacità della falla, prima di passare a obiettivi più redditizi. Tuttavia, dopo la divulgazione pubblica della vulnerabilità, gli attori delle minacce hanno accelerato il passo, al fine di sfruttarla il più possibile, prima che Zimbra rilasci una patch. Gli amministratori di sistema che non sono in grado di applicare immediatamente la patch sono invitati a installare almeno il workaround, poiché il numero di attori delle minacce che sfruttano attivamente la vulnerabilità è ancora elevato.
