Lỗ hổng trong Zimbra cho phép truy cập không xác thực

[WhiteHat Team]

Một lỗ hổng vừa được phát hiện trong bộ giải pháp Zimbra Collaboration Suite (Zimbra) cho phép kẻ tấn công không được xác thực có quyền truy cập vào tài khoản Zimbra.

​

Đây là bộ giải pháp hoàn chỉnh dành cho doanh nghiệp giúp quản lý và chia sẻ công việc với nhiều tính năng như thư điện tử, lịch làm việc, sổ địa chỉ...

Lỗ hổng có mã định danh CVE-2023-41106 là một lỗi one click, có thể bị khai thác bằng cách gửi liên kết độc hại để lừa người dùng Zimbra click vào, từ đó cung cấp thông tin đăng nhập để tin tặc truy cập vào tài khoản của họ. Hậu quả là, người dùng sẽ bị chiếm đoạt tài khoản và bị xâm phạm các dữ liệu bí mật.

Lỗ hổng CVE-2023-41106 ảnh hưởng đến tất cả các phiên bản của Zimbra Collaboration, bao gồm cả phiên bản mới nhất là Daffodil 10.0.3 và được xử lý trong các bản vá sau:

• Daffodil 10.0.3
• 9.0.0 Kepler bản vá 35
• 8.8.15 Joule bản vá 42

Nếu đang sử dụng phiên bản Zimbra tồn tại lỗ hổng, người dùng cần nhanh chóng cài đặt bản cập nhật càng sớm càng tốt. Nếu chưa thể cập nhật, ngay người dùng có thể thực hiện một số bước giảm thiểu thủ công sau để bảo vệ tài khoản của mình:

• Không nhấp vào bất kỳ liên kết nào từ các nguồn không đáng tin cậy
• Cân nhắc khi nhập thông tin quan trọng vào biểu mẫu trên các trang web
• Kích hoạt xác thực hai yếu tố cho tài khoản Zimbra

Trong tháng trước, Zimbra cũng đã vá một lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công XSS. Lỗ hổng được gán mã CVE-2023-38750 có thể cho phép kẻ tấn công chèn mã độc vào trình duyệt của người dùng Zimbra. Hãng đã phát hành bản vá cho lỗ hổng này vào ngày 15 tháng 7 năm 2023.

Theo Security Online​