Zimbra đã phát hành các bản vá để chứa một lỗ hổng bảo mật bị khai thác tích cực trong bộ cộng tác doanh nghiệp của họ có thể được tận dụng để tải các tệp tùy ý lên các trường hợp dễ bị tấn công.
Được theo dõi là CVE-2022-41352 (điểm CVSS: 9,8), sự cố ảnh hưởng đến một thành phần của bộ Zimbra có tên là Amavis, một bộ lọc nội dung nguồn mở và cụ thể hơn, tiện ích cpio mà nó sử dụng để quét và trích xuất kho lưu trữ.
Đến lượt nó, lỗ hổng này được cho là bắt nguồn từ một lỗ hổng cơ bản khác (CVE-2015-1197) lần đầu tiên được tiết lộ vào đầu năm 2015, theo Flashpoint đã được sửa chữa, chỉ sau đó được hoàn nguyên trong các bản phân phối Linux sau này.
“Kẻ tấn công có thể sử dụng gói cpio để truy cập không chính xác vào bất kỳ tài khoản người dùng nào khác”, Zimbra cho biết trong một lời khuyên được xuất bản vào tuần trước, thêm vào đó “khuyến nghị pax hơn cpio.”
Các bản sửa lỗi có sẵn trong các phiên bản sau:
Tất cả những gì kẻ thù tìm kiếm cần làm để vũ khí hóa thiếu sót là gửi email có tệp đính kèm lưu trữ TAR được chế tạo đặc biệt, sau khi nhận được, sẽ được gửi cho Amavis, công ty sử dụng mô-đun cpio để kích hoạt khai thác.
Công ty an ninh mạng Kaspersky đã tiết lộ rằng các nhóm APT không xác định đã tích cực lợi dụng lỗ hổng trong tự nhiên, với một trong những tác nhân “lây nhiễm một cách có hệ thống tất cả các máy chủ dễ bị tấn công ở Trung Á.”
Các cuộc tấn công, diễn ra trong hai đợt tấn công vào đầu và cuối tháng 9, chủ yếu nhắm vào các thực thể chính phủ trong khu vực, lợi dụng chỗ đứng ban đầu để thả web shell trên các máy chủ bị xâm nhập cho các hoạt động tiếp theo.
Dựa trên thông tin được chia sẻ bởi công ty ứng phó sự cố Volexity, khoảng 1.600 máy chủ Zimbra được ước tính đã bị nhiễm trong cái gọi là “sự kết hợp giữa các cuộc tấn công có chủ đích và cơ hội”.
“Một số đường dẫn web shell […] đã được sử dụng để khai thác có mục tiêu (có thể là APT) của các tổ chức quan trọng trong chính phủ, viễn thông và CNTT, chủ yếu ở Châu Á; những người khác đã được sử dụng trong việc khai thác lớn trên toàn thế giới, “công ty cho biết trong một loạt các tweet.
