Gli hacker stanno sfruttando attivamente il difetto di furto di password in Zimbra
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 8 Agosto 2022
Tags: #sicurezza, #bug, #zimbra
Tags: #sicurezza, #bug, #zimbra
Gli hacker stanno sfruttando attivamente il difetto di furto di password in Zimbra
Gli hacker rubano le password
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto il difetto Zimbra CVE-2022-27824 al suo "Catalogo delle vulnerabilità sfruttate", indicando che viene attivamente sfruttato negli attacchi degli hacker.
Questa vulnerabilità ad alta gravità consente a un utente malintenzionato non autenticato di rubare le credenziali dell'account e-mail in formato non crittografato dalle istanze di Zimbra Collaboration senza l'interazione dell'utente.
In breve, un hacker può eseguire l'avvelenamento da Memcache tramite l'iniezione di CRLF e indurre il software a inoltrare tutto il traffico IMAP all'attaccante quando gli utenti legittimi tentano di accedere.
I ricercatori di SonarSource hanno scoperto il difetto l'11 marzo 2022 e il fornitore del software ha rilasciato una correzione che risolveva i problemi il 10 maggio 2022, con le versioni ZCS 9.0.0 Patch 24.1 e ZCS 8.8.15 Patch 31.1.
Il rapporto tecnico che ha accompagnato la divulgazione di SonarSource era piuttosto completo e, poiché è stato pubblicato più di un mese dopo la messa a disposizione delle correzioni, offre agli hacker molti suggerimenti su come sfruttare il difetto.
Tuttavia, come risulta evidente dall'ultima aggiunta al catalogo di CISA, non tutti gli amministratori hanno applicato gli aggiornamenti di sicurezza disponibili da quasi tre mesi.
Data questa opportunità, gli hacker ora tentano di individuare e attaccare le istanze vulnerabili. La sottrazione delle credenziali dell'account Zimbra consente loro di accedere al server di posta elettronica, aprendo la strada agli attacchi di spear-phishing, ingegneria sociale e BEC (business email compromise).
Secondo il fornitore del software, Zimbra Collaboration è utilizzato da oltre 200.000 aziende e 1.000 entità statali e organizzazioni critiche in 140 paesi, inclusi gli Stati Uniti.
L'aggiunta di CVE-2022-27824 da parte della CISA al catalogo dei difetti attivamente sfruttati introduce l'obbligo per tutte le agenzie federali degli Stati Uniti di applicare gli aggiornamenti di sicurezza disponibili fino al 25 agosto 2022, che è la scadenza fissata per questo caso.
Naturalmente, le agenzie e le organizzazioni non federali che utilizzano Zimbra Collaboration e non hanno ancora aggiornato i loro prodotti dovrebbero farlo immediatamente, poiché gli attacchi degli hacker contro le istanze vulnerabili sono già in corso.