TIN TẶC TÍCH CỰC KHAI THÁC LỖ HỔNG TRONG ZIMBRA COLLABORATION SUITE

Một lỗ hổng thực thi mã từ xa nghiêm trọng trong phần mềm cộng tác doanh nghiệp và email của Zimbra, hiện chưa có bản vá để khắc phục sự cố.

CVE-2022-41352 (CVSS: 9.8), có thể cho phép các tác nhân độc hại tải lên các tệp tùy ý và thực hiện các hành động độc hại trên các cài đặt bị ảnh hưởng.

Rapid7 cho biết, “Lỗ hổng sảy ra do cpio method và công cụ chống virus của Zimbra – Amavis, khi kiểm tra các email gửi đến.”

Theo thông tin được chia sẻ trên các diễn đàn Zimbra, lỗ hổng có thể đã bị khai thác từ đầu tháng 9. Trong thời gian trước khi các bản vá được phát hành, Zimbra kêu gọi người dùng cài đặt ‘pax’ utility và khởi động lại dịch vụ Zimbra.

Lỗ hổng bảo mật tồn tại trong phiên bản 8.8.15 và 9.0, ảnh hưởng đến nhiều bản phân phối Linux như Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 và CentOS 8, ngoại trừ Ubuntu (do pax là gói được cài đặt mặc định).

Việc khai thác thành công lỗ hổng yêu cầu kẻ tấn công gửi tệp lưu trữ (CPIO hoặc TAR) qua email đến một máy chủ nhạy cảm, sau đó được Amavis kiểm tra bằng cách sử dụng tiện ích lưu trữ tệp cpio để trích xuất nội dung của tệp độc hại.

Ron Bowes, chuyên gia nghiên cứu tại Rapid7 cho biết: “Do cpio không có cơ chế sử dụng an toàn trong trường hợp các file không an toàn, kẻ tấn công có thể truyền bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng đã truy cập. Kết quả là các tác nhân độc hại có thể thực thi mã từ xa.”

Zimbra đang cố gắng khắc phục lỗ hổng bảo mật trong bản vá tiếp theo. Tuy nhiên, hiện vẫn chưa có thời gian cụ thể cho việc phát hành bản vá.

Rapid7 cũng lưu ý rằng CVE-2022-41352 “giống hệt” với CVE-2022-30333 trước đây, một lỗ hổng path traversal trong phiên bản Unix của tiện ích unRAR của RARlab được công bố vào đầu tháng 6 này, sự khác biệt duy nhất là lỗ hổng mới này được sử dụng Định dạng lưu trữ CPIO và TAR thay vì RAR.

Ngoài ra, Zimbra còn có thể chứa một lỗ hổng zero-day leo thang đặc quyền khác, nếu bị khai thác kết hợp với lỗ hổng cpio này có thể đạt được quyền truy cập đặc quyền root từ xa.

Thực tế cho thấy, Zimbra đã không còn là mục tiêu mới, vào tháng 8, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về việc các đối thủ khai thác nhiều lỗ hổng trong phần mềm để xâm phạm mạng.

Theo https://thehackernews.com/