ALERTA 05/2023

[TLP:CLEAR]

1. Por meio da parceria com o CSIRTAmericas, o CTIR Gov recebeu a informação de ataques explorando uma série de vulnerabilidades críticas identificadas em instâncias do Zimbra Collaboration Suite. As vulnerabilidades possuem as seguintes CVE's:

CVE-2022-41352: Vulnerabilidade de execução remota de código, que permite a um invasor remoto explorar um arquivo especialmente manipulado para executar código malicioso no servidor. Link:

• https://nvd.nist.gov/vuln/detail/CVE-2022-41352

CVE-2022-27924: Vulnerabilidade de cross-site scripting (XSS), que possibilita a injeção de scripts maliciosos. Link:

• https://nvd.nist.gov/vuln/detail/CVE-2022-27924

CVE-2022-27925: Vulnerabilidade de vazamento de informações, por meio da qual um atacante pode divulgar informações confidenciais, incluindo credenciais de usuário, por meio de uma falha na proteção de dados.

• https://nvd.nist.gov/vuln/detail/CVE-2022-27925

CVE-2022-37042: Vulnerabilidade de autenticação inadequada que permite a um invasor obter acesso não autorizado às instâncias ZCS afetadas.

• https://nvd.nist.gov/vuln/detail/CVE-2022-37042

2. A análise dos ataques permitiu identificar que, após o comprometimento de um servidor Zimbra, agentes maliciosos executam ataques de força bruta contra SSH e aplicações Web, além de tentar explorar outras vulnerabilidades na rede, buscando implantar acesso persistente e outras ações.

3. Dentre os Indicadores de Comprometimento (IoC's), podem ser identificados:

• presença de scripts maliciosos nos diretórios /etc/php/php.ini, /var/tmp/php.ini e /tmp/;
• chaves públicas não reconhecidas no diretório /root/.ssh/Authorized_keys;
• presença de artefatos maliciosos nos diretórios do Zimbra com extensão "*.jsp", como “heartbeat.jsp”, “temp.jsp”, “Startup1_3.jsp”, “Startup1_5.jsp”, “bak.jsp” e “info.jsp”;
• presença de arquivos sem extensão ou ainda com extensão "*.txt" nos diretórios /opt/zimbra/, /tmp/ e /var/tmp/, como resultado de atividade de scan por ferramentas automatizadas; e
• conexões ao IP 206.188.197.227

4. Outros procedimentos para identificação de indícios de comprometimento podem ser obtidos em:

• https://blog.zimbra.com/2023/04/10-steps-to-check-zimbra-server-for-compromise/

4.1. Para os casos em que o comprometimento da instância seja identificado, sugere-se executar os procedimentos descritos em:

• https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

5. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem com urgência as correções disponibilizadas no site do mantenedor:

• https://wiki.zimbra.com/wiki/Security_Center

6. Reforçamos a consulta aos seguintes Alertas e Recomendações emitidos pelo CTIR Gov:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/alertas/2022/alerta-20-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-03-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2023/recomendacao-08-2023
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-17-2022
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-38-2022

7. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:

• https://www.gov.br/ctir/pt-br/assuntos/tlp

Equipe CTIR Gov.

[TLP:CLEAR]