APT-группа атакует серверы программного обеспечения Zimbra Collaboration в Центральной Азии

Эксперты «Лаборатории Касперского» выяснили, что неизвестные APT-группы* эксплуатируют недавно обнаруженную уязвимость** в программном обеспечении Zimbra Collaboration. Как минимум одна из этих групп активно атакует уязвимые серверы в регионе Центральной Азии, в который входит и Казахстан.

Серверы с ПО Zimbra Collaboration были атакованы через уязвимость в инструменте для распаковки архивов. Информация о ней была добавлена в Metasploit Framework — платформу, которая в теории служит для изучения и тестирования эксплойтов, но по факту часто используется не только для исследовательских целей. Таким образом, уязвимость теперь может быть применена даже неопытными злоумышленниками для реальных атак на уязвимые серверы.

Недавно Zimbra выпустила патч вместе с инструкциями по его установке. Так что первым логичным шагом для компаний, использующих программное обеспечение организации, будет обновить программу до последней версии.

«Если по какой-то причине компания не может перейти на новую версию Zimbra Collaboration, есть другой вариант — атаку можно предотвратить, если установить на уязвимый сервер утилиту pax. Эта терминология известна специалистам по безопасности. Однако не стоит забывать, что это не универсальное решение проблемы. Обновление всегда является более надежным средством, — отметил Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Казахстане, Средней Азии и Монголии. — В случае подозрений об атаке на бизнес через данную уязвимость мы также рекомендуем обращаться к специалистам по расследованию инцидентов в компании, занимающиеся кибербезопасностью».

Более подробно об уязвимости по ссылке: https://securelist.com/ongoing-exploitation-of-cve-2022-41352-zimbra-0-day/107703/

*Группа злоумышленников, проводящая АРТ-атаки (Advanced Persistent Threat) – целевые продолжительные атаки повышенной сложности

** Уязвимость CVE-2022-41352