APT-группа атакует серверы программного обеспечения ZimbraCollaboration в Центральной Азии

Эксперты «Лаборатории Касперского» выяснили, что неизвестные APT-группы* эксплуатируют недавно обнаруженную уязвимость** в программном обеспечении ZimbraCollaboration. Как минимум одна из этих групп активно атакует уязвимые серверы в регионе Центральной Азии, в который входит и Казахстан.

Серверы с ПО ZimbraCollaboration были атакованы через уязвимость в инструменте для распаковки архивов. Информация о ней была добавлена в MetasploitFramework — платформу, которая в теории служит для изучения и тестирования эксплойтов, но по факту часто используется не только для исследовательских целей. Таким образом, уязвимость теперь может быть применена даже неопытными злоумышленниками для реальных атак на уязвимые серверы.

Недавно Zimbra выпустила патч вместе с инструкциями по его установке. Так что первым логичным шагом для компаний, использующих программное обеспечение организации, будет обновить программу до последней версии.

«Если по какой-то причине компания не может перейти на новую версию ZimbraCollaboration, есть другой вариант — атаку можно предотвратить, если установить на уязвимый сервер утилиту pax. Эта терминология известна специалистам по безопасности. Однако не стоит забывать, что это не универсальное решение проблемы. Обновление всегда является более надежным средством, — отметил Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Казахстане, Средней Азии и Монголии. — В случае подозрений об атаке на бизнес через данную уязвимость мы также рекомендуем обращаться к специалистам по расследованию инцидентов в компании, занимающиеся кибербезопасностью».

Более подробно об уязвимости по ссылке: https://securelist.com/ongoing-exploitation-of-cve-2022-41352-zimbra-0-day/107703/

*Группа злоумышленников, проводящая АРТ-атаки (AdvancedPersistentThreat) – целевые продолжительные атаки повышенной сложности

** Уязвимость CVE-2022-41352