t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Lỗ hổng trên Zimbra cho phép kẻ tấn công đánh cắp mật khẩu ở dạng clear text
Trong một cảnh báo vào hôm thứ hai, cơ quan an ninh mạng và cơ sở hạ tầng (CISA) cùng trung tâm phân tích và chia sẻ thông tin đa bang (MS-ISAC) đã cảnh báo rằng những kẻ tấn công đang tích cực khai thác năm lỗ hổng trong Zimbra Collaboration Suite (ZCS) để nhắm tới mạng lưới của chính phủ và danh nghiệp tư nhân.
Zimbra đã phát hành các bản vá cho cả năm lỗi, bắt đầu từ tháng 5 và gần đây nhất được tung vào cuối tháng 7.
Lỗi đầu tiên được phát hiện vào tháng 3 bởi công ty SonarSource có mã định danh CVE-2022-27924 với 7,5 điểm CVSS và đã được vá vào tháng 5. Lỗi có mức độ nghiêm trọng cao. Bằng cách đưa các lệnh memcache tùy ý vào một phiên bản được nhắm mục tiêu, gây ra việc ghi đè các mục lưu trữ trong bộ nhớ cache tùy ý, tin tặc có thể đánh cắp thông tin đăng nhập tài khoản dưới dạng clear text mà không yêu cầu có sự tương tác của người dùng.
Tiếp đến là CVE-2022-37042 với điểm CVSS 9.8. Đây là lỗ hổng bỏ qua xác thực từ xa quan trọng, kẻ tấn công có thể tải các tệp tùy ý lên hệ thống, dẫn đến việc truyền qua thư mục và thực thi mã từ xa.
Một lỗ hổng khác với mã định danh CVE-2022-27925 với điểm CVSS là 7,4, cho phép người dùng đã xác thực với đặc quyền quản trị tải lên các tệp tùy ý dẫn đến truyền tải thư mục độc hại. Đặc biệt khi kết hợp với CVE-2022-37042 thì lỗi này có thể bị khai tác mà không cần thông tin xác thực quản trị hợp lệ. Zimbra đã đưa ra bản vá cho hai lỗi này vào tháng 7.
CVE-2022-30333 là lỗ hổng mức độ cao với 7,5 điểm trong RARLAB UnRAR, được Zimbra sử dụng trước phiên bản 6.12 trên các hệ thống Linux và Unix cho phép kẻ tấn công ghi vào tệp trong quá trình giải nén. Hiện đã phát hiện mô-đun Metasploit tạo ra tệp RAR, tệp này có thể được gửi qua email đến máy chủ Zimbra để khai thác lỗ hổng này. Để khắc phục Zimbra đã thay đổi cấu hình sử dụng 7zip thay vì UnRAR.
"Việc thác thành công cho phép kẻ xấu truy cập vào từng email được gửi và nhận trên máy chủ bị xâm nhập. "Âm thầm" cài cắm backdoor và lấy cắp thông tin đăng nhập của người dùng trong tổ chức", theo SonarSource.
Lỗ hổng thứ năm được khai thác tích cực là CVE-2022-24682, là lỗi với mức độ nghiêm trọng trung bình cho phép kẻ tấn công đánh cắp các tệp cookie phiên. Volexity đã phát hiện ra và Zimbra vá vào tháng 2.
Trong lời khuyên của mình, CISA khuyến nghị các nhóm bảo mật "đặc biệt là tại các tổ chức không cập nhật ngay lập tức các phiên bản ZCS của họ khi phát hành bản vá", hãy tìm kiếm bất kỳ dấu hiệu hoạt động độc hại nào bằng cách sử dụng một số ít chữ ký phát hiện của bên thứ ba.
Lỗi đầu tiên được phát hiện vào tháng 3 bởi công ty SonarSource có mã định danh CVE-2022-27924 với 7,5 điểm CVSS và đã được vá vào tháng 5. Lỗi có mức độ nghiêm trọng cao. Bằng cách đưa các lệnh memcache tùy ý vào một phiên bản được nhắm mục tiêu, gây ra việc ghi đè các mục lưu trữ trong bộ nhớ cache tùy ý, tin tặc có thể đánh cắp thông tin đăng nhập tài khoản dưới dạng clear text mà không yêu cầu có sự tương tác của người dùng.
Tiếp đến là CVE-2022-37042 với điểm CVSS 9.8. Đây là lỗ hổng bỏ qua xác thực từ xa quan trọng, kẻ tấn công có thể tải các tệp tùy ý lên hệ thống, dẫn đến việc truyền qua thư mục và thực thi mã từ xa.
Một lỗ hổng khác với mã định danh CVE-2022-27925 với điểm CVSS là 7,4, cho phép người dùng đã xác thực với đặc quyền quản trị tải lên các tệp tùy ý dẫn đến truyền tải thư mục độc hại. Đặc biệt khi kết hợp với CVE-2022-37042 thì lỗi này có thể bị khai tác mà không cần thông tin xác thực quản trị hợp lệ. Zimbra đã đưa ra bản vá cho hai lỗi này vào tháng 7.
CVE-2022-30333 là lỗ hổng mức độ cao với 7,5 điểm trong RARLAB UnRAR, được Zimbra sử dụng trước phiên bản 6.12 trên các hệ thống Linux và Unix cho phép kẻ tấn công ghi vào tệp trong quá trình giải nén. Hiện đã phát hiện mô-đun Metasploit tạo ra tệp RAR, tệp này có thể được gửi qua email đến máy chủ Zimbra để khai thác lỗ hổng này. Để khắc phục Zimbra đã thay đổi cấu hình sử dụng 7zip thay vì UnRAR.
"Việc thác thành công cho phép kẻ xấu truy cập vào từng email được gửi và nhận trên máy chủ bị xâm nhập. "Âm thầm" cài cắm backdoor và lấy cắp thông tin đăng nhập của người dùng trong tổ chức", theo SonarSource.
Lỗ hổng thứ năm được khai thác tích cực là CVE-2022-24682, là lỗi với mức độ nghiêm trọng trung bình cho phép kẻ tấn công đánh cắp các tệp cookie phiên. Volexity đã phát hiện ra và Zimbra vá vào tháng 2.
Trong lời khuyên của mình, CISA khuyến nghị các nhóm bảo mật "đặc biệt là tại các tổ chức không cập nhật ngay lập tức các phiên bản ZCS của họ khi phát hành bản vá", hãy tìm kiếm bất kỳ dấu hiệu hoạt động độc hại nào bằng cách sử dụng một số ít chữ ký phát hiện của bên thứ ba.
Theo The Register