Quản trị viên khẩn trương vá lỗ hổng zero-day trong máy chủ mail Zimbra đang bị khai thác

[WhiteHat Team]

Zimbra khuyến cáo quản trị viên vá thủ công lỗ hổng zero-day đang bị khai thác để nhắm mục tiêu và xâm nhập các máy chủ email Zimbra Collaboration Suite (ZCS) phiên bản 8.8.15. Lỗ hổng hiện chưa có mã định danh CVE.

Đây là lỗ hổng Cross-site scripting (XSS) có khả năng ảnh hưởng đến tính bảo mật và tính toàn vẹn dữ liệu. Kẻ tấn công có thể đánh cắp thông tin nhạy cảm của người dùng hoặc thực thi mã độc trên các hệ thống tồn tại lỗ hổng.

Các chuyên gia an ninh mạng cũng cho biết lỗ hổng này trên đang bị khai thác trong một cuộc tấn công có chủ đích.

Zimbra Collaboration Suite (ZCS) được sử dụng bởi hơn 200.000 doanh nghiệp trên 140 quốc gia, bao gồm nhiều chính phủ và tổ chức tài chính trên toàn thế giới. Trước đó, nhiều lỗi tương tự trong Zimbra đã bị phát hiện trong hàng trăm đến hàng nghìn máy chủ email trên thế giới chỉ trong vài năm trở lại đây.

Vì vậy, trong thời gian chờ bản vá chính thức, quản trị viên cần giải quyết tạm thời lỗ hổng này để loại bỏ vectơ tấn công mà không làm gián đoạn hoạt động bình thường của hệ thống. Các bước bao gồm:

• Tạo một bản sao lưu của tệp /opt/zimbra/jetty/webapps/zimbra/m/momoveto
• Chỉnh sửa dòng số 40 của tệp này thành <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
• Trước khi cập nhật, dòng 40 xuất hiện dưới dạng <input name="st" type="hidden" value="${param.st}"/>

Hàm escapeXml() sẽ làm dữ liệu do người dùng nhập vào an toàn hơn bằng cách loại bỏ các ký tự đặc biệt được sử dụng trong cú pháp XML để ngăn chặn lỗ hổng XSS.

WhiteHat sẽ cập nhật thông tin về bản vá của lỗ hổng ngay khi nó được phát hành.

Theo The Hacker News, WhiteHat​