Poważna luka bezpieczeństwa w Zimbrze - CVE-2019-9670

poniedziałek, 3 Czerwiec 2019 r.

Na początku marca została wykryta w większości wersji Zimbry poważna luka bezpieczeństwa, do której producent wydał odpowiednie poprawki.

Od kwietnia zauważamy wzrost ataków przy wykorzystaniu podatności CVE-2019-9670 na serwery. Prowadzone obserwacje pozwalają nam stwierdzić, iż z każdym dniem skuteczność ataków na niezabezpieczone środowiska jest coraz większa i bardziej dopracowana.

Hakerzy umieszczają na serwerach złośliwy kod, który umożliwia atakującemu wykonanie dowolnego polecenia z prawami użytkownika zimbra w zdegradowanym środowisku, co w konsekwencji może prowadzić do wycieku danych lub nawet ich utraty poprzez zdalne usunięcie lub zaszyfrowanie.

Producent oprogramowania informuje, że na ataki odporne są poniższe (lub nowsze) wersje Zimbry:

  • 8.6.0 patch 14
  • 8.7.11 patch 11
  • 8.8.9 patch 10
  • 8.8.10 patch 7
  • 8.8.11 patch 3
  • 8.8.12

Jeśli korzystasz z wersji wcześnieszych oprogramowania Zimbra zalecamy natychmiastową aktualizację środowiska oraz weryfikację, czy nie zostało zdegradowane przez hakerów.

Poniżej przedstawiamy komendy, które pozwalają zebrać dane weryfikujące wersję Zimbry oraz czy na serwerze znajduje się złośliwe oprogramowanie:

su - zimbra
zmcontrol -v

grep python-request /opt/zimbra/log/access_log*
grep downloads /opt/zimbra/log/access_log* | grep -i jsp
grep 'Ajax.jsp' /opt/zimbra/log/*_log.2019*
grep 'XZimbra.jsp' /opt/zimbra/log/*_log.2019*
grep 'login.jsp' /opt/zimbra/log/*_log.2019*
grep 'Debug.jsp' /opt/zimbra/log/*_log.2019*
grep 'ppwd=' /opt/zimbra/log/*_log.2019*

ls -lrth /var/tmp/*.sh
ls -lrth /opt/zimbra/log/*.sh

crontab -l | egrep -i 'zmmailboxdwatch | smstorewatch'
crontab -l | egrep -i '\.sh|\.py'

find /opt/zimbra -name \*.jsp -exec grep --with-filename exec {} \; | sed 's/:.*//' 

W ostatnich atakach zauważamy, że atakujący próbują ukrywać ślady swoich modyfikacji na poziomie systemu operacyjnego oraz oprogramowania Zimbra, co skutecznie może utrudniać wykrycie ataku.

Jeśli potrzebujesz pomocy w weryfikacji, czy Twój system jest bezpieczny lub wymaga naprawy po ataku, zachęcamy do kontaktu telefonicznie lub poprzez formularz kontatkowy dostępny na stronie w zakładce kontakt.

Zachęcamy także do śledzenia strony z powiadomieniami o błędach bezpieczeńtwa w oprogramowaniu Zimbra: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

Tagi: 
Zimbra
powrót na górę