Zimbra 漏洞的攻击和防护建议

重要信息摘要

Kaspersky 研究人员预计，随着 Zimbra 的一个远程代码执行漏洞的概念证明已被加入 Metasploit项目，针对未修补服务器的第三波攻击将随之而来。简单的修补措施和安全建议可以帮助企业防范这种漏洞。

Kaspersky 的研究人员表示，他们预计由于近期一个 Zimbra 漏洞的概念证明被加入到 Metasploit项目，将会出现第三波针对未修补服务器的攻击。

Zimbra 是一个为企业提供的协作工具软件套件，在五月发布了该漏洞的补丁，早于 SonarSource 的研究人员报告的两个月。

根据 Kaspersky 的说法，九月份接连发生的两波攻击，首波针对亚洲的政府服务器，而第二波则在 9 月 30日展开，目标是”位于特定中亚国家的所有脆弱服务”。

“在 2022 年 10 月 7 日，关于此漏洞的概念证明被纳入 Metasploit 框架，为即便是技术水平较低的攻击者的广泛全球性利用奠定了基础，”
Kaspersky 研究人员在其博客 上表示。

Metasploit 提供漏洞信息并帮助进行渗透测试。

这一漏洞被追踪为
，来源于其病毒防护引擎使用
cpio 工具来扫描入站邮件。cpio 工具的一个缺陷 CVE-2015-1197 允许黑客创建一个能够访问 Zimbra 内部任何文件的存档。

Kaspersky 推荐安全团队更新 Zimbra 发布的补丁，表示如果无法安装补丁，应该在承载 Zimbra 安装的机器上安装
pax，以防止该漏洞被利用。

网络安全和基础设施安全局 ，并要求所有美国联邦机构对该漏洞进行处理。根据供应商称，该软件套件已经被超过 200,000 家企业使用，包括美国在内。