Lỗ hổng Zimbra đe dọa an ninh của hơn 1.000 máy chủ

t04ndv

Moderator
02/02/2021
18
85 bài viết
Lỗ hổng Zimbra đe dọa an ninh của hơn 1.000 máy chủ
Lỗ hổng bỏ qua xác thực trên Zimbra đang bị hacker khai thác tích cực để xâm phạm các máy chủ email Zimbra Collaboration Suite (ZCS) trên toàn thế giới. Zimbra hiện là nền tảng email và cộng tác được sử dụng bởi hơn 200.000 doanh nghiệp từ hơn 140 quốc gia, bao gồm hơn 1.000 tổ chức chính phủ và tài chính.

Untitled.png

Công ty chuyên về an ninh mạng Volexity cho biết lỗ hổng được gắn mã định danh CVE-2022-27925, đã bị kẻ tấn công lạm dụng để thực thi mã từ xa ZCS với sự trợ giúp của lỗi bỏ qua xác thực có mã định danh CVE-2022-37042 (cả hai lỗ hổng này đã được vá).

"Lỗ hổng bị khai thác theo cách thức tương tự lỗ hổng Zeroday trên Microsoft Exchange phát hiện hồi đầu năm 2021. Ban đầu nó bị khai thác chủ yếu cho mục đích gián điệp, tuy nhiên sau đó bị kẻ xấu nhắm tới cho các cuộc tấn công diện rộng", các chuyên gia cho biết thêm.

Việc khai thác thành công cho phép kẻ tấn công triển khai webshell trên các máy chủ bị xâm nhập để có được quyền truy cập liên tục. Zimbra không đề cập việc các lỗ hổng này có đang bị khai thác hay không nhưng nếu bạn đang sử dụng Zimbra cũ hơn 8.8.15 (bản vá 33) hoặc Zimbra 9.0.0 (bản vá 26) thì nên cập nhật bản vá mới nhất. CISA cũng xác nhận cả hai lỗi đang bị khai thác tích cực trong thực tế và thêm vào danh mục lỗi bị khai thác.

Volexity đã quét các máy chủ bị tấn công tiếp xúc với internet và xác định được nơi cài đặt web shell trên máy chủ và tìm thấy hơn 1.000 phiên bản ZCS trên khắp thế giới đã bị cài backdoor và xâm phạm. Các phiên bản ZCS này thuộc về nhiều tổ chức toàn cầu khác nhau bao gồm cơ quan chính phủ, các doanh nghiệp trên toàn thế giới. Việc quét chỉ sử dụng các shell mà Volexity biết đến nên số lượng máy chủ bị khai thác thực tế có thể nhiều hơn.

Tuy nhiên, như Volexity cảnh báo, nếu các máy chủ bị ảnh hưởng chưa vá lỗi RCE (CVE-2022-27925) trước tháng 5/2022, "hãy nghĩ đến trường hợp phiên bản ZCS của mình có thể bị xâm nhập (bao gồm tất cả dữ liệu trên đó, nội dung email có thể đã bị đánh cắp) và rà soát lại toàn bộ máy chủ".

CISA cũng bổ sung thêm một lỗ hổng nghiêm trọng khác của Zimbra có mã định danh CVE-2022-27924, cho phép kẻ tấn công chưa xác thực lấy cắp thông tin đăng nhập dạng plain text vào danh mục các lỗ hổng khai thác đã biết (Known Exploited Vulnerabilies Catalog).

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
rce zimbra
Bên trên