Zimbra 电子邮件服务器存在严重安全漏洞

关键要点

• Volexity 发现攻击者利用 CVE-2022-27925 远程代码执行漏洞。
• 攻击开始于6月底，目标是 Zimbra 协作套件邮件服务器。
• 全球有超过 200,000 家企业受影响，包括 1,000 多个政府和金融机构。
• 攻击者能够在受影响的 Zimbra 服务器上部署 Web Shell，以获取持续访问权限。

据 报道，威胁情报公司 Volexity发现攻击者一直在积极利用一种跟踪为 CVE-2022-27925 的远程代码执行缺陷，结合 CVE-2022-37042的身份验证绕过漏洞，早在6月底就已开始攻击 Zimbra 协作套件电子邮件服务器。该服务器被全球超过 200,000 家企业使用，其中包括 140 个国家的
1,000 多个政府和金融组织。Volexity 表示，这一
的利用方式与其在 2021 年初发现的 Microsoft Exchange 0-day漏洞相似，该公司表示，此漏洞起初被以间谍为导向的威胁行为者利用，后来被其他威胁行为者采纳并用于大规模攻击尝试。

漏洞名称 | 漏洞类型 | 影响范围 | 起始日期
—|—|—|—
CVE-2022-27925 | 远程代码执行漏洞 | Zimbra 协作套件 | 2022年6月底
CVE-2022-37042 | 身份验证绕过漏洞 | Zimbra 协作套件 | 同上

成功利用这些漏洞使得攻击者能够在被攻陷的 Zimbra 服务器某些位置启动 Web Shell，从而获得持续的访问权限。Volexity表示，它发现全球有超过 1,000 个 ZCS 实例受到影响，这些实例属于多个全球组织，包括政府部门和大型企业，这些实例已经被攻陷并植入后门。

这一漏洞警示我们，应及时更新和加固系统，以应对潜在的安全威胁。