Zimbra phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

10:35 | 21/10/2022
M.H

Zimbra vừa phát hành bản vá bảo mật cho một lỗ hổng đang bị khai thác tích cực trong bộ cộng tác (collaboration suite) doanh nghiệp của hãng. Lỗ hổng này có thể bị tin tặc lợi dụng để tải các tệp tùy ý trên thiết bị.

Cụ thể, lỗ hổng định danh CVE-2022-41352 có điểm CVSS: 9,8, ảnh hưởng đến một thành phần của Zimbra suite có tên Amavis - bộ lọc nội dung nguồn mở và tiện ích cpio mà nó sử dụng để quét và trích xuất kho lưu trữ.

Lỗ hổng được cho là bắt nguồn từ một lỗ hổng CVE-2015-1197 được tiết lộ lần đầu năm 2015 và đã được khắc phục trong các phiên bản sau của Linux. Tin tặc có thể sử dụng gói cpio để truy cập trái phép vào bất kỳ tài khoản người dùng nào khác.

Để khai thác lỗ hổng tin tặc tiến hành gửi email có tệp đính kèm TAR độc hại. Tập tin này sau khi được nhận, sẽ gửi tới Amavis để sử dụng mô-đun cpio kích hoạt khai thác.

Công ty an ninh mạng Kaspersky cho biết, các nhóm APT không xác định đã tích cực khai thác lỗ hổng trong thực tế. Một trong số đó lây nhiễm một cách có hệ thống tới các máy chủ tại Trung Á.

Theo công ty ứng phó sự cố Volexity (Mỹ), ước tính khoảng 1.600 máy chủ Zimbra đã bị ảnh hưởng bởi lỗ hổng. Cùng với đó, một số đường dẫn web shell đã được sử dụng để khai thác có mục tiêu nhắm vào các tổ chức quan trọng trong chính phủ, viễn thông và công nghệ thông tin, chủ yếu ở châu Á. Những đường dẫn khác được sử dụng trong việc khai thác quy mô lớn trên toàn thế giới.