VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang cảnh báo về những nỗ lực khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.

Công ty bảo mật doanh nghiệp Proofpoint cho biết họ bắt đầu quan sát hoạt động này từ ngày 28 tháng 9 năm 2024. Các cuộc tấn công này nhằm khai thác CVE-2024-45519, một lỗ hổng bảo mật nghiêm trọng trong dịch vụ postjournal của Zimbra, có thể cho phép kẻ tấn công chưa xác thực thực hiện các lệnh tùy ý trên các cài đặt bị ảnh hưởng.

Proofpoint cho biết trong một loạt bài đăng trên X rằng: "Các email giả mạo Gmail đã được gửi đến các địa chỉ giả mạo trong trường CC nhằm mục đích khiến máy chủ Zimbra phân tích cú pháp và thực thi chúng dưới dạng lệnh". "Các địa chỉ này chứa các chuỗi Base64 được thực thi bằng tiện ích sh".


Zimbra đã giải quyết vấn đề nghiêm trọng này trong các phiên bản 8.8.15 Bản vá 46, 9.0.0 Bản vá 41, 10.0.9 và 10.1.1 phát hành vào ngày 4 tháng 9 năm 2024. Một nhà nghiên cứu bảo mật tên là lebr0nli (Alan Li) đã được ghi nhận là người phát hiện và báo cáo lỗ hổng này.

Ashish Kataria, kỹ sư kiến trúc bảo mật tại Synacor, lưu ý trong bình luận vào ngày 19 tháng 9 năm 2024: "Mặc dù tính năng postjournal có thể là tùy chọn hoặc không được bật trên hầu hết các hệ thống, nhưng vẫn cần phải áp dụng bản vá được cung cấp để ngăn chặn khả năng khai thác".

"Đối với các hệ thống Zimbra mà tính năng postjournal không được bật và bản vá không thể được áp dụng ngay lập tức, việc xóa tệp nhị phân postjournal có thể được coi là biện pháp tạm thời cho đến khi bản vá có thể được áp dụng."


Proofpoint cho biết họ đã xác định được một loạt các địa chỉ CC, khi được giải mã, sẽ cố gắng viết một web shell trên máy chủ Zimbra dễ bị tấn công tại vị trí: "/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp."

Sau đó, web shell được cài đặt sẽ lắng nghe kết nối đến bằng trường Cookie JSESSIONID được xác định trước và nếu có, nó sẽ tiến hành phân tích cookie JACTION để tìm lệnh Base64.

Web shell được trang bị hỗ trợ thực thi lệnh thông qua exec. Ngoài ra, nó cũng có thể tải xuống và thực thi tệp qua kết nối socket. Các cuộc tấn công chưa được xác định là do tác nhân hoặc nhóm đe dọa nào đã biết tính đến thời điểm viết bài này.

Mặc dù vậy, hoạt động khai thác dường như đã bắt đầu một ngày sau khi Project Discovery công bố thông tin chi tiết kỹ thuật về lỗ hổng, trong đó nêu rằng lỗ hổng "bắt nguồn từ dữ liệu đầu vào chưa được kiểm tra của người dùng được truyền tới popen trong phiên bản chưa vá, cho phép kẻ tấn công chèn các lệnh tùy ý".

Công ty an ninh mạng cho biết vấn đề bắt nguồn từ cách nhị phân postjournal dựa trên C xử lý và phân tích địa chỉ email của người nhận trong một hàm có tên là "msg_handler()", do đó cho phép đưa lệnh vào dịch vụ đang chạy trên cổng 10027 khi truyền một tin nhắn SMTP được tạo đặc biệt với địa chỉ giả mạo (ví dụ: "aabbb$(curl${IFS}oast.me)"@mail.domain.com).

Trước những nỗ lực khai thác đang diễn ra, người dùng được khuyến cáo mạnh mẽ áp dụng các bản vá mới nhất để có sự bảo vệ tối ưu trước các mối đe dọa tiềm ẩn.

Vào ngày 3 tháng 10 năm 2024, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2024-45519 vào danh mục Lỗ hổng đã khai thác ( KEV ) đã biết, yêu cầu các cơ quan thuộc Cơ quan hành pháp dân sự liên bang (FCEB) khắc phục lỗ hổng này trước ngày 24 tháng 10 năm 2024.