TL;DR

Varovanie pred kritickými zraniteľnosťami v Zimbra Collaboration Suite

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou v Zimbra Collaboration Suite.

Zimbra je populárny e-mailový server s webovým manažmentom, ktorý je často využívaný aj v slovenskom kybernetickom priestore. Najnovšie zraniteľnosti tohto produktu spôsobujú, že útočník môže nahrať ľubovoľné súbory, čo môže viesť k neoprávnenému vykonaniu kódu. Zneužitie zraniteľností umožní plný prístup k iným používateľským účtom, všetkým e-mailom a serveru ako takému. Na uvedené zraniteľnosti už existuje proof of concept exploit – demonštrácia, ako je zraniteľnosť možné zneužiť.

Zraniteľnosti sú označené pod kódom CVE-2015-1197, CVE-2022-41352 a kritickejšia má CVSS skóre 9.8.

Či je systém zraniteľný závisí od toho, ktoré systémové balíky využíva. Touto kritickou zraniteľnosťou sú zasiahnuté všetky Synacor Zimbra Collaboration používajúce CPIO bez nainštalovaného PAX.

Opatrenia

Národné centrum kybernetickej bezpečnosti SK-CERT odporúča bezodkladne  nainštalovať PAX podľa návodu zverejnenom na https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/. V niektorých distribúciách sa tento balík môže už nachádzať, preto nie sú touto zraniteľnosťou postihnuté.

Po doinštalovaní balíka pax odporúčame preveriť logy a zamerať sa na neštandardné správanie a podozrivé vzorce, ktoré môžu indikovať, že zraniteľnosť bola zneužitá. Takisto preverte, či potenciálny útočník nezmenil nastavenia pošty. Na záver je dobrým odporúčaním zmeniť na serveri všetky používateľské a administrátorské heslá (ako na e-mail, tak aj do operačného systému).

V prípade, ak máte podozrenie na zneužitie tejto zraniteľnosti na vašej inštancii produktu, nahláste incident Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected]


« Späť na zoznam