Lỗ hổng XSS (cross-site scripting) trong Zimbra đã bị khai thác trong các cuộc tấn công nhắm vào các tổ chức chính phủ và truyền thông châu Âu.
Zimbra là một nền tảng email đa tính năng, bao gồm nhắn tin nhanh, danh bạ, họp trực tuyến, chia sẻ tệp và lưu trữ đám mây, được dùng trong hơn 200.000 doanh nghiệp từ hơn 140 quốc gia, trong đó có hơn 1.000 tổ chức tài chính và chính phủ.
Các nhà nghiên cứu cho biết: “Tại thời điểm công khai thông tin, lỗ hổng này không có sẵn bản vá và chưa được gán định danh CVE (lỗ hổng zero-day)”.
Lỗ hổng chỉ ảnh hưởng đến Zimbra 8.8.15 và các phiên bản trước đó; phiên bản 9.0.0 không bị ảnh hưởng.
Volexity cho biết đã phát hiện một đối tượng được gọi là TEMP_Heretic đang khai thác zero-day trong các chiến dịch lừa đảo trực tuyến để đánh cắp email.
Lỗ hổng này cũng cho phép kẻ tấn công:
- Đánh cắp cookie để truy cập trái phép vào hộp thư
- Gửi tin nhắn lừa đảo đến người dùng khác trong danh dạ
- Hiển thị lời nhắc tải xuống phần mềm độc hại từ các trang web tin cậy
Zero-day bị khai thác để đánh cắp email
Vào tháng 12, Volexity phát hiện TEMP_Heretic đã thực hiện các hoạt động do thám để kiểm tra các địa chỉ email đang hoạt động.
Tiếp theo, hắn đã gửi các email lừa đảo có chứa liên kết độc hại với nhiều chủ đề như yêu cầu phỏng vấn, lời mời tham gia đấu giá từ thiện, lời chúc mừng kỳ nghỉ,… trong nhiều đợt kể từ ngày 16/12/2021.
Nếu người dùng đã đăng nhập hệ thống Zimbra nhấp vào liên kết độc hại sẽ bị chuyển hướng đến một URI nhất định trên máy chủ thư trực tuyến; sau đó cho phép kẻ tấn công thực thi mã JavaScript tùy ý để lấy cắp nội dung email, tệp đính kèm và gửi đến máy chủ của kẻ tấn công.
"Theo dữ liệu của BinaryEdge, có khoảng 33.000 máy chủ đang sử dụng hệ thống máy chủ email Zimbra."
Volexity khuyến nghị người dùng Zimbra thực hiện các biện pháp sau để ngăn chặn các cuộc tấn công khai thác lỗ hổng này:
- Chặn tất cả các indicators này ở gateway và tầng network.
- Phân tích các log referrer để tìm kiếm các liên kết và truy cập đáng ngờ. Vị trí mặc định cho các log này có thể được tìm thấy tại /opt/zimbra/log/access*.log
- Nâng cấp lên phiên bản 9.0.0.
Các thông tin liên quan bao gồm các domain và địa chỉ IP được liên kết với chiến dịch đánh cắp email có sẵn trong báo cáo của Volexity.
Ngày 4 tháng 2, Zimbra đã phát hành bản “hotfix” cho phiên bản 8.8.15 p30, và cung cấp cho khách hàng của Zimbra thông qua Bộ phận hỗ trợ của Zimbra và cho biết bản vá chính thức cho lỗ hổng đang được kiểm tra và sẽ được cung cấp trong bản cập nhật sau đó.
Người dùng Zimbra nên thường xuyên kiểm tra và cập nhật lên phiên bản phát hành mới nhất hiện có để giảm thiểu các rủi ro.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một cuộc tấn công lớn đã xâm phạm 93 theme và plugin WordPress để cài cắm backdoor, cho phép kẻ tấn công giành toàn quyền truy cập vào các trang web.
Tín nhiệm mạng | Một nghiên cứu về tấn công zero-click trong ứng dụng Zoom cho biết hai lỗ hổng bảo mật chưa được công khai trước đây có thể đã bị khai thác để làm gián đoạn dịch vụ, thực thi mã độc và làm rò rỉ dữ liệu.
Tín nhiệm mạng | Ngân hàng trung ương của Cộng hòa Indonesia đã xác nhận bị tấn công ransomware vào tháng trước và sự cố không làm gián đoạn hoạt động của ngân hàng
Tín nhiệm mạng | Nền tảng giao dịch tiền điện tử lớn thứ ba thế giới-Crypto.com đã xác nhận bị tấn công mạng gây thất thoát hàng triệu đô la của công ty và ảnh hưởng đến hơn 400 tài khoản khách hàng.
Tín nhiệm mạng | Mới đây, Microsoft đã tiết lộ thông tin về lỗ hổng bảo mật mới trong phần mềm chia sẻ tệp SolarWinds Serv-U, được phát hiện khi những kẻ tấn công đang lợi dụng lỗ hổng Log4j để cố đăng nhập vào Serv-U.
Tín nhiệm mạng | Số vụ lây nhiễm mã độc nhắm vào các thiết bị IoT Linux đã tăng 35% vào năm 2021, với mục đích chủ yếu để lạm dụng các thiết bị bị xâm phạm cho các cuộc tấn công từ chối dịch vụ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
