-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.02 #############################
Titel : Kwetsbaarheid verholpen in Zimbra Collaboration
Advisory ID : NCSC-2022-0350
Versie : 1.02
Kans : high
CVE ID : CVE-2022-27924, CVE-2022-27925
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Uitgiftedatum : 20220811
Toepassing : Zimbra Collaboration
Versie(s) : < 8.8.15 Patch 31.1
< 9.0.0 Patch 24.1
Platform(s) :
Update
De kwetsbaarheid met kenmerk CVE-2022-27925 is aan dit
beveiligingsadvies toegevoegd. Beveiligingsbedrijf Volexity meldt op
grote schaal misbruik van deze kwetsbaarheid te hebben waargenomeen.
Zie "Beschrijving" en "Mogelijke oplossingen" voor meer informatie.
De inschaling van dit beveiligingsadvies blijft onverminderd
HIGH/HIGH.
Het NCSC adviseert met klem om de door Zimbra beschikbaar gestelde
updates spoedig te installeren mocht dat nog niet zijn gedaan.
Wanneer de updates nog niet zijn geïnstalleerd, is het raadzaam om
uw Zimbra-omgeving te controleren op aanwezigheid van de door
Volexity gedeelde indicators-of-compromise.
Beschrijving
Zimbra heeft kwetsbaarheden verholpen in Zimbra Collaboration. De
kwetsbaarheid met kenmerk CVE-2022-27924 stelt een kwaaadwillende op
afstand in staat om memcached-commando's te injecteren en zodoende
gecachete data te manipuleren. Dit maakt het mogelijk om content te
manipuleren die aan gebruikers wordt geserveerd. De kwetsbaarheid
met kernmerk CVE-2022-27925 maakt het voor een kwaadwillende
daarnaast mogelijk om willekeurige code uit te voeren.
Onderzoekers van SonarSource hebben aangetoond dat eerstgenoemde
kwetsbaarheid, CVE-2022-27924, een kwaadwillende in staat stelt om
de inloggegevens van Zimbra-gebruikers te achterhalen. Voor misbruik
van deze kwetsbaarheid is geen authenticatie vereist. Om de
kwetsbaarheid te misbruiken moet de kwaadwillende het e-mailadres
van het slachtoffer weten of "response smuggling"-technieken
toepassen. De onderzoekers hebben proof-of-concept-code beschikbaar
om de kwetsbaarheid te misbruiken en hebben tevens een blogpost
gepubliceerd. Het NCSC verwacht dat de informatie in de blogpost
voldoende aanknopingspunten geeft om de kwetsbaarheid te misbruiken.
De blogpost is te vinden via de volgende URL:
https://blog.sonarsource.com
/zimbra-mail-stealing-clear-text-credentials-via-memcache-injecti
on/
De kwetsbaarheid met kenmerk CVE-2022-27925 stelt een
ongeauthenticeerde kwaadwillende in staat om willekeurige code uit
te voeren. Beveiligingsbedrijf Volexity geeft aan dat deze
kwetsbaarheid op grote schaal wordt misbruikt. Zie "Mogelijke
oplossingen" voor meer informatie over de beschikbaar gestelde
beveiligingsupdates. Volexity heeft een blogpost gepubliceerd met
meer achtergrondinformatie, indicators-of-compromise en YARA-rules:
https://www.volexity.com/blog/2022/08/10
/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/
Mogelijke oplossingen
Zimbra heeft updates uitgebracht om de kwetsbaarheid met kenmerk
CVE-2022-27924 te verhelpen in 8.8.15 Patch 31.1 en 9.0.0 Patch
24.1. Voor meer informatie, zie:
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31.1
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24.1
De kwetsbaarheid met kenmerk CVE-2022-27925 is reeds verholpen in
Zimbra 8.8.15 patch 31.0 en 9.0.0 patch 24.0. Wanneer bovengenoemde
updates zijn geïnstalleerd, is de Zimbra-omgeving dus ook beschermd
tegen CVE-2022-27925. Voor meer informatie over patch 31.0 en 24.0,
zie:
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=A93w
-----END PGP SIGNATURE-----
