🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc đang khai thác lỗ hổng Zimbra Postjournal nghiêm trọng trong các cuộc tấn công - Kiểm tra và khắc phục ngay!

03/10/2024

Các nhà nghiên cứu an ninh mạng đang cảnh báo về các hoạt động khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.

Công ty bảo mật Proofpoint cho biết họ đã phát hiện hoạt động này từ ngày 28 tháng 9 năm 2024. Các cuộc tấn công này khai thác CVE-2024-45519, một lỗ hổng bảo mật nghiêm trọng trong dịch vụ postjournal của Zimbra, có thể cho phép kẻ tấn công chưa được xác thực thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.

Proofpoint cho biết rằng: "Các email giả mạo Gmail đã được gửi đến các địa chỉ không có thật trong trường CC nhằm mục đích khiến máy chủ Zimbra phân tích cú pháp và thực thi chúng dưới dạng lệnh (command)". "Các địa chỉ này chứa các chuỗi Base64 được thực thi bằng công cụ sh".

Zimbra đã giải quyết vấn đề nghiêm trọng này trong phiên bản 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, và 10.1.1 phát hành vào ngày 4 tháng 9 năm 2024. Nhà nghiên cứu bảo mật lebr0nli (Alan Li) được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.

Ashish Kataria, kỹ sư kiến ​​trúc bảo mật tại Synacor, lưu ý rằng: "Mặc dù tính năng postjournal có thể là tùy chọn hoặc không được bật trên hầu hết các hệ thống, nhưng vẫn cần phải áp dụng bản vá được cung cấp để ngăn chặn nguy cơ khai thác".

"Đối với các hệ thống Zimbra mà tính năng postjournal không được bật và bản vá không thể được áp dụng ngay lập tức, việc xóa tệp nhị phân postjournal có thể được coi là biện pháp tạm thời cho đến khi bản vá có thể được áp dụng."

Proofpoint cho biết họ đã xác định được một loạt các địa chỉ CC, khi được giải mã, sẽ cố gắng ghi một web shell trên máy chủ Zimbra dễ bị tấn công tại vị trí: "/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp."

Web shell sẽ lắng nghe kết nối đến bằng trường Cookie JSESSIONID được xác định trước và nếu có, nó sẽ tiến hành phân tích cookie JACTION để tìm lệnh Base64.

Web shell có khả năng thực thi lệnh thông qua exec. Ngoài ra, nó cũng có thể tải xuống và thực thi tệp qua kết nối socket. Các cuộc tấn công hiện vẫn chưa được xác định là do tác nhân hoặc nhóm đe dọa nào đã biết gây ra.

Mặc dù vậy, hoạt động khai thác dường như đã bắt đầu một ngày sau khi Project Discovery công bố thông tin chi tiết kỹ thuật về lỗ hổng, trong đó chỉ ra rằng lỗ hổng "bắt nguồn từ dữ liệu đầu vào chưa được kiểm tra của người dùng được truyền tới popen trong phiên bản chưa được vá, cho phép kẻ tấn công chèn lệnh tùy ý".

Trước những hoạt động khai thác đang diễn ra, người dùng cần nhanh chóng áp dụng bản vá mới nhất để được bảo vệ trước các mối đe dọa tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop