カスペルスキーのリサーチャーによりますと、未知の持続的標的型攻撃(APT)グループが、Zimbra Collaborationソフトウェア内で見つかったCVE-2022-41352という脆弱性を悪用し続けていることが明らかになりました。うち1つのATPグループが、中央アジアにある脆弱なサーバーを攻撃しています。
CVE-2022-41352とは?
この脆弱性は、cpioユティリティを解凍するアーカイブで見つかりました。これはZimbra Collaboration Suiteの一部で、Amavisコンテンツフィルターによって使用されるものです。攻撃者は、Webシェルを用いて悪意のある.tarアーカイブを作成し、脆弱なZimbra Collaborationソフトウェアを実行するサーバーにそれを送信します。Zimbraが受信すると、Amavisフィルターがこの.tarアーカイブをチェックし始め、cpioユティリティを呼び出し起動します。これがWebシェルのパブリックディレクトリのうちの1つを解凍します。そうすると、犯罪者は、自身のWebシェルを実行し、攻撃対象のサーバーで任意のコマンドの実行を開始します。つまり、この脆弱性は tarfileモジュール (英語記事)内の脆弱性と似ています。
この脆弱性に関する専門的な説明は、 Securelistのブログ記事 (英語記事)に詳しく記載されています。そのなかで、当社のリサーチャーが調査した攻撃において、攻撃者がWebシェルを配置したディレクトリをリスト化しています。
注意が必要な理由は、この脆弱性の悪用が、Metasploit Frameworkに追加されたということです。Metasploit Frameworkは、一般的にセキュリティの研究とペンテストを行うプラットフォームですが、実際にはサイバー犯罪者が攻撃を実行する際に利用しています。そのため、経験の浅い新米サイバー犯罪者もCVE-2022-41352を悪用することが可能になっています。
安全でいるために
10月14日、Zimbraはインストールガイドと共にパッチをリリースしました。そのため、最初するべき措置は、最新の更新をインストールすることです。何らかの理由でこのパッチをインストールできない場合には、ほかにも攻撃を防ぐ方法があります。脆弱なサーバーでpaxユティリティをインストールすることです。この場合、Amavisはpaxを使用してcpioでなく.tarアーカイブを解凍します。しかし、これだけでは安心できません。攻撃者はcpioを悪用する別の方法を何通りも考えます。
もし、この脆弱性を利用した攻撃が疑われる場合、もしくはSecurelist (英語ページ)に書かれたディレクトリの一つにあるWebシェルを見つけた場合、インシデント対応 の専門家に連絡することを当社のエキスパートチームは推奨しています。攻撃者は、既に他のサービスアカウントへのアクセスができる状態になっているかもしれません。さらに、バックドアも既にインストールしているかもしれません。そのため、Webシェルが削除されたとしても、一度攻撃したシステムへ再びアクセスすることが可能かもしれません。
カスペルスキーのセキュリティソリューションは、脆弱性CVE-2022-41352を悪用する試みを検知し、ブロックすることに成功しています。