SK-CERT Bezpečnostné varovanie V20220204-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
8.8 |
| Identifikátor |
| Zimbra Collaboration – zero-day zraniteľnosť |
| Popis |
| Bezpečnostní výskumníci zverejnili informácie o aktívne zneužívanej bezpečnostnej zraniteľnosti mailového servera Zimbra. Bližšie nešpecifikovanú XSS (Cross-Site Scripting) zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne upraveného URL mohol zneužiť na vykonanie škodlivého JavaScript kódu a získať neoprávnený prístup k citlivým údajom. Zraniteľnosť je aktívne zneužívaná útočníkmi od decembra 2021. |
| Dátum prvého zverejnenia varovania |
| 03.02.2022 |
| CVE |
| – |
| IOC |
| 108.160.133[.]32 172.86.75[.]158 206.166.251[.]141 206.166.251[.]166 amazon-check[.]cf amazon-check[.]ga amazon-check[.]gq amazon-check[.]tk amazon-team[.]tk bruising-intellect[.]ml chargedboltsentry.spiritfield[.]tk findtruth[.]ml flameshock.spiritfield[.]tk iceywindflow[.]cf iceywindflow[.]gq iceywindflow[.]ml mail.bruising-intellect[.]ml mx.newsonline[.]gq news-online[.]ml news-voice[.]ml newsonline[.]gq opticaleel.iceywindflow[.]cf playquicksand[.]cf playquicksand[.]gq playquicksand[.]ml playquicksand[.]tk secretstep[.]tk shadowmaster.iceywindflow[.]ml shadownight.playquicksand[.]tk shadownight.spiritfield[.]ga spiritfield[.]cf spiritfield[.]ga spiritfield[.]ml spiritfield[.]tk spiritx[.]ga support.newsonline[.]gq thunderchannel[.]cf thunderchannel[.]tk tigerstrike.iceywindflow[.]ml update.secretstep[.]tk winderosion.spiritfield[.]ml windsoft[.]cf windsource.thunderchannel[.]cf windsource.thunderchannel[.]tk www.amazon-check[.]ga www.findtruth[.]ml www.iceywindflow[.]gq www.news-online[.]ml www.news-voice[.]ml www.newsonline[.]gq www.playquicksand[.]cf www.playquicksand[.]gq www.spiritfield[.]ga www.spiritx[.]ga www.thunderchannel[.]cf www.thunderchannel[.]tk www.windsoft[.]cf www.yahoo-corporation[.]ml yahoo-corporation[.]ml yahoo-corporation[.]tk yahoo-movie.spiritx[.]ga |
| Zasiahnuté systémy |
| Zimbra Collaboration verzie staršie ako 9.0.0 |
| Následky |
| Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom |
| Odporúčania |
| Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov, kontrolu systémov a logov a tiež zablokovať IOC na bezpečnostných prvkoch. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov, nenavštevovali nedôveryhodné webové stránky a neinštalovali neoverené aplikácie. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
