Các nhà nghiên cứu an ninh mạng đang cảnh báo về các hoạt động khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.
Công ty bảo mật Proofpoint cho biết họ đã phát hiện hoạt động này từ ngày 28 tháng 9 năm 2024. Các cuộc tấn công này khai thác CVE-2024-45519, một lỗ hổng bảo mật nghiêm trọng trong dịch vụ postjournal của Zimbra, có thể cho phép kẻ tấn công chưa được xác thực thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.
Proofpoint cho biết rằng: "Các email giả mạo Gmail đã được gửi đến các địa chỉ không có thật trong trường CC nhằm mục đích khiến máy chủ Zimbra phân tích cú pháp và thực thi chúng dưới dạng lệnh (command)". "Các địa chỉ này chứa các chuỗi Base64 được thực thi bằng công cụ sh".
Zimbra đã giải quyết vấn đề nghiêm trọng này trong phiên bản 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, và 10.1.1 phát hành vào ngày 4 tháng 9 năm 2024. Nhà nghiên cứu bảo mật lebr0nli (Alan Li) được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.
Ashish Kataria, kỹ sư kiến trúc bảo mật tại Synacor, lưu ý rằng: "Mặc dù tính năng postjournal có thể là tùy chọn hoặc không được bật trên hầu hết các hệ thống, nhưng vẫn cần phải áp dụng bản vá được cung cấp để ngăn chặn nguy cơ khai thác".
"Đối với các hệ thống Zimbra mà tính năng postjournal không được bật và bản vá không thể được áp dụng ngay lập tức, việc xóa tệp nhị phân postjournal có thể được coi là biện pháp tạm thời cho đến khi bản vá có thể được áp dụng."
Proofpoint cho biết họ đã xác định được một loạt các địa chỉ CC, khi được giải mã, sẽ cố gắng ghi một web shell trên máy chủ Zimbra dễ bị tấn công tại vị trí: "/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp."
Web shell sẽ lắng nghe kết nối đến bằng trường Cookie JSESSIONID được xác định trước và nếu có, nó sẽ tiến hành phân tích cookie JACTION để tìm lệnh Base64.
Web shell có khả năng thực thi lệnh thông qua exec. Ngoài ra, nó cũng có thể tải xuống và thực thi tệp qua kết nối socket. Các cuộc tấn công hiện vẫn chưa được xác định là do tác nhân hoặc nhóm đe dọa nào đã biết gây ra.
Mặc dù vậy, hoạt động khai thác dường như đã bắt đầu một ngày sau khi Project Discovery công bố thông tin chi tiết kỹ thuật về lỗ hổng, trong đó chỉ ra rằng lỗ hổng "bắt nguồn từ dữ liệu đầu vào chưa được kiểm tra của người dùng được truyền tới popen trong phiên bản chưa được vá, cho phép kẻ tấn công chèn lệnh tùy ý".
Trước những hoạt động khai thác đang diễn ra, người dùng cần nhanh chóng áp dụng bản vá mới nhất để được bảo vệ trước các mối đe dọa tiềm ẩn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗ hổng nghiêm trọng trong NVIDIA Container Toolkit ảnh hưởng đến tất cả các ứng dụng AI trong môi trường đám mây để truy cập tài nguyên GPU.
Tín nhiệm mạng | Một loạt lỗ hổng bảo mật mới có thể cho phép thực thi lệnh (command) từ xa trong một số điều kiện nhất định đã được phát hiện trong hệ thống OpenPrinting Common Unix Printing System (CUPS).
Tín nhiệm mạng | Một lỗ hổng bảo mật đã được sửa trong ứng dụng ChatGPT của OpenAI trên macOS có thể đã cho phép kẻ tấn công cài đặt phần mềm gián điệp lâu dài vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã tiết lộ một loạt lỗ hổng đã được vá trong các xe Kia, nếu khai thác thành công có thể cho phép kẻ tấn công điều khiển từ xa các chức năng chính của ô tô bằng cách sử dụng biển số xe.
Tín nhiệm mạng | HP đã chặn một chiến dịch email bao gồm một phần mềm độc hại được phát tán bởi một công cụ dropper do AI tạo ra.
Tín nhiệm mạng | Các phiên bản giả mạo của các ứng dụng Android hợp pháp liên quan đến Spotify, WhatsApp và Minecraft đã được sử dụng để phát tán phiên bản mới phần mềm độc hại Necro. Một số ứng dụng độc hại cũng đã được tìm thấy trên Google Play Store, chúng đã được tải xuống tổng cộng 11 triệu lần
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
