Zimbra vừa phát hành bản vá để khắc phục lỗ hổng đang bị khai thác tích cực trong bộ cộng tác (collaboration suite) doanh nghiệp của hãng. Lỗ hổng này có thể bị hacker lợi dụng để tải các tệp tùy ý vào thiết bị.
Có mã theo dõi CVE-2022-41352 (điểm CVSS: 9,8), lỗ hổng ảnh hưởng đến một thành phần của Zimbra suite có tên Amavis – bộ lọc nội dung nguồn mở, và cụ thể hơn là tiện ích cpio mà nó sử dụng để quét và trích xuất kho lưu trữ.
Lỗ hổng được cho là bắt nguồn từ một lỗ hổng cơ bản khác (CVE-2015-1197) tiết lộ lần đầu năm 2015. Vấn đề sau đó đã được khắc phục trong các phiên bản sau của Linux.
“Kẻ tấn công có thể sử dụng gói cpio để truy cập trái phép vào bất kỳ tài khoản người dùng nào khác“, Zimbra cho biết trong khuyến cáo đưa ra tuần trước, lưu ý thêm về việc “dùng pax thay vì cpio”.
Bản vá lỗi đã được cập nhật trong các phiên bản sau:
Tất cả những gì hacker cần làm để khai thác lỗ hổng là gửi email có tệp đính kèm TAR archive độc hại. Tập tin này sau khi được nhận, sẽ gửi tới Amavis để sử dụng mô-đun cpio kích hoạt khai thác.
Công ty an ninh mạng Kaspersky cho biết, các nhóm APT không xác định đã tích cực khai thác lỗ hổng trong thực tế. Một trong số đó “lây nhiễm một cách có hệ thống tất cả các máy chủ bị ảnh hưởng ở Trung Á“.
Các cuộc tấn công, diễn ra trong hai đợt vào đầu và cuối tháng 9, chủ yếu nhắm vào các tổ chức chính phủ trong khu vực. Hacker lợi dụng việc xâm nhập ban đầu để thả web shell vào các máy chủ, từ đó thực hiện các hoạt động tiếp theo.
Dựa trên thông tin được chia sẻ bởi công ty ứng phó sự cố Volexity, khoảng 1.600 máy chủ Zimbra được ước tính đã bị nhiễm virus mà hãng gọi là “sự kết hợp giữa các cuộc tấn công cơ hội và có chủ đích”.
“Một số đường dẫn web shell […] đã được sử dụng để khai thc có mục tiêu (có thể là APT) nhắm vào các tổ chức quan trọng trong chính phủ, viễn thông và CNTT, chủ yếu ở châu Á; những đường dẫn khác được sử dụng trong việc khai thác quy mô lớn trên toàn thế giới“, Công ty cho biết thêm.