-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.03 #############################
Titel : Kwetsbaarheid verholpen in Zimbra Collaboration
Advisory ID : NCSC-2022-0350
Versie : 1.03
Kans : high
CVE ID : CVE-2022-27924, CVE-2022-27925
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Uitgiftedatum : 20220823
Toepassing : Zimbra Collaboration
Versie(s) : < 8.8.15 Patch 31.1
< 9.0.0 Patch 24.1
Platform(s) :
Update
Onderzoekers hebben Proof-of-Concept-code gepubliceerd voor de
kwetsbaarheid met kenmerk CVE-2022-27925
Zimbra en CISA hebben Indicators of Compromise (IoC) gepubliceerd,
waarmee mogelijk misbruik kan worden gedetecteerd. Het algemene
advies om zo snel mogelijk de beveiligingsupdates in te zetten
blijft echter onverkort van kracht.
De inschaling van dit beveiligingsadvies blijft onverminderd
HIGH/HIGH.
Zie https://www.cisa.gov/uscert/ncas/alerts/aa22-228a
Beschrijving
Zimbra heeft kwetsbaarheden verholpen in Zimbra Collaboration. De
kwetsbaarheid met kenmerk CVE-2022-27924 stelt een kwaaadwillende op
afstand in staat om memcached-commando's te injecteren en zodoende
gecachete data te manipuleren. Dit maakt het mogelijk om content te
manipuleren die aan gebruikers wordt geserveerd. De kwetsbaarheid
met kernmerk CVE-2022-27925 maakt het voor een kwaadwillende
daarnaast mogelijk om willekeurige code uit te voeren.
Onderzoekers van SonarSource hebben aangetoond dat eerstgenoemde
kwetsbaarheid, CVE-2022-27924, een kwaadwillende in staat stelt om
de inloggegevens van Zimbra-gebruikers te achterhalen. Voor misbruik
van deze kwetsbaarheid is geen authenticatie vereist. Om de
kwetsbaarheid te misbruiken moet de kwaadwillende het e-mailadres
van het slachtoffer weten of "response smuggling"-technieken
toepassen. De onderzoekers hebben proof-of-concept-code beschikbaar
om de kwetsbaarheid te misbruiken en hebben tevens een blogpost
gepubliceerd. Het NCSC verwacht dat de informatie in de blogpost
voldoende aanknopingspunten geeft om de kwetsbaarheid te misbruiken.
De blogpost is te vinden via de volgende URL:
https://blog.sonarsource.com
/zimbra-mail-stealing-clear-text-credentials-via-memcache-injecti
on/
De kwetsbaarheid met kenmerk CVE-2022-27925 stelt een
ongeauthenticeerde kwaadwillende in staat om willekeurige code uit
te voeren. Beveiligingsbedrijf Volexity geeft aan dat deze
kwetsbaarheid op grote schaal wordt misbruikt. Zie "Mogelijke
oplossingen" voor meer informatie over de beschikbaar gestelde
beveiligingsupdates. Volexity heeft een blogpost gepubliceerd met
meer achtergrondinformatie, indicators-of-compromise en YARA-rules:
https://www.volexity.com/blog/2022/08/10
/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/
Misbruik kan worden gedetecteerd middels onderstaande Indicators of
Compromise (IoC):
https://www.cisa.gov/uscert/ncas/alerts/aa22-228a
Mogelijke oplossingen
Zimbra heeft updates uitgebracht om de kwetsbaarheid met kenmerk
CVE-2022-27924 te verhelpen in 8.8.15 Patch 31.1 en 9.0.0 Patch
24.1. Voor meer informatie, zie:
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31.1
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24.1
De kwetsbaarheid met kenmerk CVE-2022-27925 is reeds verholpen in
Zimbra 8.8.15 patch 31.0 en 9.0.0 patch 24.0. Wanneer bovengenoemde
updates zijn geïnstalleerd, is de Zimbra-omgeving dus ook beschermd
tegen CVE-2022-27925. Voor meer informatie over patch 31.0 en 24.0,
zie:
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8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=xWKI
-----END PGP SIGNATURE-----
