Cảnh báo: Lỗ hổng thực thi mã từ xa trên Zimbra

Lỗ hổng zero-day (CVE-2022-41352, điểm CVSS v3 9,8) là một lỗi thực thi mã từ xa nghiêm trọng trong Zimbra Collaboration 8.8.15 và 9.0 phát sinh từ việc sử dụng không an toàn tiện ích cpio.

Để khai thác lỗ hổng, kẻ tấn công gửi email có đính kèm các tệp .cpio, .tar hoặc .rpm đến máy chủ bị ảnh hưởng. Khi trình diệt virus Amavis của Zimbra kiểm tra các tệp này để tìm mã độc, Amavis sẽ sử dụng cpio để giải nén tệp. Vì cpio không có chế độ xử lý an toàn với các tệp kho lưu trữ, kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập. Kết quả, kẻ tấn công có thể cài shell vào trong web root để thực thi mã từ xa, cùng nhiều hành động khác.

Các phiên bản bị ảnh hưởng bao gồm:

1. Các bản phân phối Red Hat do pax không được cài mặc định.

2. Về các bản phân phối Linux mà Zimbra chính thức hỗ trợ, gồm:

    + Oracle Linux 8

    + Red Hat Enterprise Linux 8

    + Rocky Linux 8

    + CentOS 8

    + Ubuntu 20.04 (cài pax theo mặc định) và Ubuntu 18.04 (cài pax và cpio có bản vá tùy chỉnh của Ubuntu) không có nguy cơ bị tấn công.

Theo thống kê của WhiteHat, Việt Nam có khoảng 1.000 dịch vụ mail public trên Internet. Quản trị viên được khuyến cáo cài đặt tiện ích pax sau đó khởi động lại hệ thống. Ngoài ra, cần theo dõi các bản cập nhật từ Zimbra.

Bkav

Bạn có thể tìm hiểu thêm các mức cảnh báo

Xuất hiện các lỗ hổng Zero-day trên các hệ điều hành, phần mềm phổ biến trên toàn cầu.

Xuất hiện các virus có tốc độ lây lan nhanh chóng, nguy hiểm trên phạm vi toàn cầu (Ví dụ: Code Red, Blaster, Conficker…).

Xuất hiện các cuộc tấn công nguy hiểm của hacker tại Việt Nam hoặc trên toàn cầu (Ví dụ: tấn công DDoS vào các website của chính phủ Mỹ, Hàn Quốc…).

Các lỗ hổng nguy hiểm đã có bản vá, nhưng vẫn đang bị khai thác ở quy mô rộng.

Việc lây lan, phát tán virus cũng như các cuộc tấn công mạng xảy ra trong những cộng đồng, khu vực cụ thể và đủ lớn (Ví dụ: trên toàn Việt Nam, hoặc khu vực Đông Nam Á).

Xuất hiện loại virus sử dụng công nghệ mới khiến cho các hệ thống phòng thủ chưa sẵn sàng, các phần mềm chưa có biện pháp xử lý, gây ảnh hưởng tới người sử dụng, hoặc các cơ quan doanh nghiệp (Ví dụ: trojan nghe lén qua Skype, virus lây nhiễm vào trình biên dịch của Delphi…).

Các lỗ hổng đã có bản vá và đang bị khai thác ở quy mô hẹp.

Xuất hiện các cuộc tấn công mạng hoặc virus lây lan trên phạm vi hẹp.

Không có dấu hiệu của các cuộc tấn công hay lây lan của các virus trên toàn cầu.

Các hệ thống mạng hoạt động bình thường.