Cảnh báo lỗ hổng Zimbra: Nguy cơ chiếm quyền email, đánh cắp dữ liệu

[WhiteHat Team]

CISA đã phát đi cảnh báo khẩn yêu cầu các cơ quan liên bang Mỹ khắc phục một lỗ hổng đang bị khai thác tích cực trong hệ thống email doanh nghiệp phổ biến Zimbra Collaboration Suite (ZCS). Động thái này cho thấy mức độ nghiêm trọng của lỗ hổng khi không chỉ ảnh hưởng đến chính phủ mà còn đe dọa hàng triệu người dùng và tổ chức trên toàn cầu, trong bối cảnh các cuộc tấn công vào hạ tầng email ngày càng gia tăng.
​

Lỗ hổng là gì và xuất phát từ đâu?​

Lỗ hổng được định danh là CVE-2025-66376, tồn tại trong giao diện Classic UI của Zimbra, liên quan đến một lỗi Cross-Site Scripting (XSS) dạng lưu trữ. Nguyên nhân cốt lõi đến từ việc hệ thống xử lý không an toàn các nội dung HTML trong email, cho phép kẻ tấn công chèn mã độc thông qua các chỉ thị CSS @import.

Điều đáng lo ngại là lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực. Tin tặc chỉ cần gửi một email chứa nội dung HTML độc hại đến nạn nhân. Khi người dùng mở email trên giao diện web của Zimbra, đoạn mã độc sẽ được thực thi ngay trong trình duyệt mà họ không hề hay biết.

Dù chưa có điểm CVSS chính thức được công bố rộng rãi, nhưng với khả năng khai thác không cần xác thực và tác động trực tiếp đến người dùng cuối, lỗ hổng này được đánh giá ở mức nghiêm trọng cao.​

Cơ chế khai thác và cách tấn công diễn ra​

Quy trình khai thác lỗ hổng CVE-2025-66376 tương đối tinh vi nhưng hiệu quả:​

• Kẻ tấn công tạo email chứa mã HTML độc hại, lợi dụng CSS @import để nhúng script​
• Email được gửi tới người dùng mục tiêu trong hệ thống Zimbra​
• Khi nạn nhân mở email, mã JavaScript độc hại được thực thi trong phiên đăng nhập​
• Tin tặc có thể chiếm quyền session, truy cập hộp thư hoặc thực hiện hành động thay người dùng​

Thông qua đó, kẻ tấn công có thể:​

• Đánh cắp cookie phiên đăng nhập​
• Truy cập và tải xuống email nhạy cảm​
• Tạo hoặc chỉnh sửa bộ lọc email để chuyển tiếp dữ liệu​
• Thực hiện các hành vi giả mạo trong hệ thống nội bộ​

Mức độ nguy hiểm và phạm vi ảnh hưởng​

Zimbra là nền tảng email và cộng tác được sử dụng rộng rãi, với hàng trăm triệu người dùng trên toàn thế giới, bao gồm doanh nghiệp lớn và nhiều cơ quan chính phủ. Việc lỗ hổng này bị khai thác trong thực tế khiến rủi ro tăng lên đáng kể.

CISA đã đưa CVE-2025-66376 vào danh mục KEV và yêu cầu các cơ quan liên bang phải khắc phục trước thời hạn bắt buộc theo chỉ thị BOD 22-01.

Thực tế cho thấy Zimbra từ lâu đã là mục tiêu ưa thích của tin tặc. Nhiều chiến dịch trước đây đã khai thác các lỗ hổng để tấn công hàng nghìn máy chủ email, thậm chí các nhóm APT như Winter Vivern từng sử dụng XSS để xâm nhập hệ thống email của chính phủ và tổ chức quốc tế.​

Rủi ro và hậu quả nếu bị khai thác​

Việc khai thác thành công lỗ hổng này có thể dẫn đến nhiều hệ lụy nghiêm trọng:​

• Rò rỉ dữ liệu nhạy cảm: Email nội bộ, tài liệu, thông tin khách hàng​
• Chiếm quyền tài khoản: Tin tặc điều khiển hoàn toàn hộp thư người dùng​
• Tấn công lan rộng: Sử dụng tài khoản bị chiếm để lừa đảo nội bộ (BEC)​
• Mất uy tín tổ chức: Đặc biệt nguy hiểm với doanh nghiệp và cơ quan nhà nước​

Trong môi trường doanh nghiệp, email là “xương sống” của giao tiếp, nên việc bị xâm nhập có thể kéo theo rủi ro dây chuyền.​

Giải pháp và khuyến nghị từ chuyên gia​

Hiện tại, lỗ hổng CVE-2025-66376 đã được vá từ đầu tháng 11. Tuy nhiên, nhiều hệ thống chưa cập nhật vẫn nằm trong diện nguy cơ cao. CISA khuyến nghị các tổ chức cần hành động ngay:​

• Cập nhật bản vá mới nhất từ nhà cung cấp Zimbra​
• Kiểm tra và vô hiệu hóa giao diện Classic UI nếu không cần thiết​
• Rà soát log truy cập, phát hiện dấu hiệu bất thường​
• Áp dụng các biện pháp bảo mật email như sandbox, lọc nội dung HTML​
• Triển khai xác thực đa yếu tố (MFA) để giảm thiểu rủi ro chiếm quyền​

Ngoài ra, người dùng cuối cũng cần thận trọng khi mở email, đặc biệt là email chứa nội dung HTML lạ hoặc không rõ nguồn gốc.​

Theo Bleeping Computer​