Thứ Năm vừa qua, cơ quan An ninh mạng của Mỹ (CISA) đã thêm hai lỗ hổng vào Danh mục các lỗ hổng được khai thác đã biết.
Hai lỗ hổng đều được đánh giá mức cao, ảnh hưởng đến Zimbra Collaboration, có thể được xâu chuỗi khai thác để đạt được thực thi mã từ xa mà không cần xác thực trên các máy chủ email bị ảnh hưởng, bao gồm:
CVE-2022-27925 (Điểm CVSS: 7.2): Lỗ hổng thực thi mã từ xa (RCE) thông qua mboximport từ người dùng đã xác thực (đã vá trong các phiên bản 8.8.15 Patch 31 and 9.0.0 Patch 24 được phát hành vào tháng 3).
CVE-2022-37042: Lỗ hổng cho phép vượt qua kiểm tra xác thực trong MailboxImportServlet (đã vá trong các phiên bản 8.8.15 Patch 33 và 9.0.0 Patch 26 được phát hành vào tháng 8).
Zimbra khuyến nghị: "Nếu bạn đang sử dụng phiên bản Zimbra cũ hơn bản 8.8.15 Patch 33 hoặc 9.0.0 Patch 26, bạn nên cập nhật bản vá mới nhất càng sớm càng tốt".
CISA chưa tiết lộ bất kỳ thông tin nào về các cuộc tấn công khai thác lỗ hổng nhưng công ty bảo mật Volexity đã phát hiện việc khai thác hàng loạt các máy chủ Zimbra trong thực tế.
Các cuộc tấn công liên quan đến việc lợi dụng lỗ hổng bỏ qua xác thực nói trên để thực thi mã từ xa trên máy chủ bị ảnh hưởng bằng cách tải lên các tệp tùy ý.
Volexity cho biết "có thể bỏ qua xác thực khi truy cập cùng một endpoint (mboximport) được CVE-2022-27925 sử dụng" và lỗ hổng "có thể bị khai thác mà không cần thông tin xác thực hợp lệ, do đó làm tăng đáng kể mức độ nghiêm trọng của lỗ hổng."
Volexity cũng chỉ ra hơn 1.000 trường hợp trên toàn cầu đã bị nhắm mục tiêu và xâm phạm bằng cách sử dụng khai thác tấn công này, bao gồm các ban bộ của chính phủ; các tổ chức quân đội và các công ty có doanh thu hàng tỷ đô.
Các cuộc tấn công, diễn ra gần đây vào cuối tháng 6 năm 2022, cũng liên quan đến việc triển khai web shell để duy trì quyền truy cập trên các máy chủ bị nhiễm. Các quốc gia bị xâm phạm nhiều nhất bao gồm Mỹ, Ý, Đức, Pháp, Ấn Độ, Nga, Indonesia, Thụy Sĩ, Tây Ban Nha và Ba Lan.
Volexity cho biết "CVE-2022-27925 ban đầu được xác định là một khai thác RCE yêu cầu xác thực". "Tuy nhiên, khi được kết hợp với một lỗ hổng khác, nó trở thành một khai thác RCE không yêu cầu xác thực khiến việc khai thác trở nên dễ hơn".
Tiết lộ được đưa ra một tuần sau khi CISA thêm một lỗ hổng khác liên quan đến Zimbra - CVE-2022-27924 vào danh mục trên, nếu bị khai thác có thể cho phép kẻ tấn công đánh cắp thông tin xác thực dạng bản rõ từ người dùng trong các phiên bản bị ảnh hưởng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Cisco xác nhận nhóm ransomware Yanluowang đã xâm phạm mạng công ty vào cuối tháng 5 và đe dọa tống tiền công ty nếu không muốn dữ liệu bị đánh cắp bị lộ trực tuyến.
Tín nhiệm mạng | Microsoft phát hành Patch Tuesday mới để khắc phục 121 lỗ hổng bao gồm một zero-day đã bị khai thác trong thực tế, 17 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa hoặc leo thang đặc quyền.
Tín nhiệm mạng |Twitter xác nhận một lỗ hổng zero-day hiện đã được vá đã bị lạm dụng để liên kết số điện thoại và email với tài khoản người dùng trên nền tảng này.
Tín nhiệm mạng | 29 mẫu router (bộ định tuyến) khác nhau từ DrayTek bị ảnh hưởng bởi một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực, nếu khai thác thành công, có thể dẫn đến xâm phạm hoàn toàn thiết bị và truy cập trái phép vào mạng của nạn nhân.
Tín nhiệm mạng | Các tác nhân đe dọa ngày càng bắt chước các ứng dụng hợp pháp như Skype, Adobe Reader,... nhằm lợi dụng sự tin tưởng vào các ứng dụng để tăng khả năng tấn công thành công.
Tín nhiệm mạng | Cisco đã phát hành các bản vá để giải quyết tám lỗ hổng bảo mật, ba trong số đó có thể cho phép kẻ tấn công RCE mà không cần xác thực hoặc gây ra từ chối dịch vụ (DoS) trên các thiết bị bị ảnh hưởng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
