Falha do Zimbra é explorada em ataques de roubo de credenciais

De acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), uma instabilidade que foi recentemente corrigida e que prejudica o e-mail empresarial Zimbra foi vasculhada em ataques.

A falha de segurança, nomeada de CVE-2022-27924 e descrita como uma dificuldade de injeção de Memcache, permite que um hacker roube credenciais de texto simples de uma instância de destino do Zimbra sem qualquer interação do usuário.

Leia mais:

• Meta relata luta contra grupos de trolls russos e hackers
• Carteiras de criptomoedas são alvo de ataque hacker
• Hackers devolvem parte de milhões roubados da Nomad, empresa de cripto

O hacker pode utilizar essas credenciais roubadas para entrar em e-mails de vítimas, onde eles conseguem aumentar seu acesso dentro da instituição e conseguir informações confidenciais. Ao conseguir logar no e-mail, as mensagens também podem que o invasor se passe por usuários e espie as vítimas. 

A Zimbra afirmou que seus aparelhos são usados ​​por mais de 200 mil organizações em todo o mundo. É importante mencionar que, essa falha foi totalmente corrigida em maio de 2022, com o lançamento das versões 8.8.15 com nível de patch 31.1 e 9.0.0 com nível de patch 24.1.

Os pesquisadores da empresa Sonar, que descobriu essa instabilidade, informaram publicamente os detalhes e também publicaram um vídeo mostrando o exploit em ação.

Uma outra organização de segurança cibernética, a Rapid7, relatou uma análise adicional e disse que recebeu relatórios privados confiáveis ​​de exploração por agentes avançados de ameaças.

A CISA adicionou o CVE-2022-27924 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas e instruiu as agências governamentais a instalar os patches disponíveis até 25 de agosto de 2022.

As equipes de segurança cibernética não estão chocadas que essa vulnerabilidade esteja sendo ameaçada e explorada para ataques. A Shadowserver Foundation já havia avisado, quando relatou ter visto cerca de 30 mil instâncias do Zimbra que podem ter sido vulneráveis ​​a ataques, incluindo milhares nos Estados Unidos.

Não é de agora que as falhas do Zimbra são exploradas na natureza. O catálogo da CISA contém quatro falhas do Zimbra, incluindo uma que foi explorada desde pelo menos dezembro de 2021, meses antes de ser corrigida.

Via: Security Week

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!