Update i patchownie systemów, to sprawa dość prosta i nie zajmująca sporo czasu, jednak niestety często odkładana na później. Przyzwyczailiśmy się przez ostanie lata do dość „luźnego” podejścia w kwestii maintenance systemów IT.
Kolejne poprawki wydawane przez producentów systemów, są systematycznie odkładane na „półkę”, na czas kiedy w wolnej chwili ktoś zajmie się tematem. Sprawa nie dotyczy oczywiście wszystkich firm i organizacji, ponieważ są też i takie, gdzie jest to starannie poukładany proces IT.
Wówczas ryzyka związane z podatnościami ważnych dla biznesu systemów IT, są minimalizowane. I tak powinno być zawsze. Prosty proces, uruchamiany w momencie otrzymania informacji od producenta trafia w odpowiednią kolejkę i jest bardzo duża szansa, że zostanie zrealizowany.
Często zachęcamy naszych Klientów do podejmowania aktywnych działań w celu unormowania ścieżki maintenance kluczowych systemów. Można to zrealizować od strony informacyjnej w wielu narzędziach, jak choćby zadanie w systemie ticketowym.
A teraz o ostatnich wydarzeniach związanych z Zimbrą.
W ostatnich dniach zauważyliśmy spory wzrost ataków, które prawdopodobnie wykorzystują podatność CVE-2022-27924. Ataki polegają na umieszczeniu złośliwego kodu, który umożliwia atakującemu wykonanie dowolnego polecenia z prawami użytkownika Zimbra w zdegradowanym środowisku, co w konsekwencji może prowadzić do wycieku danych lub nawet ich utraty poprzez zdalne usunięcie lub zaszyfrowanie. W zdegradowanych serwerach, które analizowaliśmy, atakujący umieszczali i uruchamiali koparki bitcoinów.
Co zabezpiecza przed przejęciem naszego serwera, to aktualne środowisko Zimbra czyli zainstalowany co najmniej Patch 24.1 dla Zimbra 9.0.0 lub Patch 31.1 dla Zimbry wersji 8.8.15.
Jeżeli chcesz przekonać się czy Twój serwer nie został zdegradowany to wykonaj poniższe komendy i przeanalizuj ich wynik:
- KROK 1 - Sprawdzenie czy nie pojawiły się nowe pliki .jsp np. test.jsp, aes.jsp, Json.jsp
find /opt/zimbra/jetty_base/ -path /opt/zimbra/jetty_base/work -prune -o -mtime -140 -type f | grep jsp
find /opt/zimbra/jetty/ -path /opt/zimbra/jetty/work -prune -o -mtime -140 -type f | grep jsp
- KROK 2 - Przeanalizowanie pliku access.log na wystąpienie requestów (udanych, czyli o kodzie 200) wykonujących komendy Zimbry
zgrep -aE 'mboximport|python-requests' /opt/zimbra/log/access_log* |less
zgrep -a 'zmprov' /opt/zimbra/log/access_log* |grep -av '127.0.0.1' |less
Jeżeli Twój serwer został zaatakowany należy jak najszybciej wyłączyć jego dostęp z zewnątrz (panel webowy) oraz przemigrować dane na nowy serwer z zainstalowanym najnowszym patchem.
Ta sytuacja, ponownie potwierdza jak ważne są aktualizacje, ich świadome planowanie w Działach IT.
Jeżeli macie problem z analizą lub wasz serwer Zimbra został zdegradowany i potrzebujecie pomocy lub więcej informacji – zapraszamy do kontaktu za pomcą formularza lub telefonicznie 61 822 11 87.