Một lỗ hổng nghiêm trọng trong Zimbra đã bị khai thác rộng rãi để triển khai web shell trên các máy chủ dễ bị tấn công.
Thông tin chi tiết
Các nhà nghiên cứu bảo mật đã đưa ra cảnh báo về việc khai thác trong thực tế một lỗ hổng bảo mật nghiêm trọng trong nền tảng email và cộng tác phổ biến Zimbra.
Định danh lỗ hổng: CVE-2024-45519
Mức độ nghiêm trọng: Critical
Điểm CVSS: 9.8 (Dựa trên mức độ nghiêm trọng và khả năng thực thi lệnh từ xa mà không cần xác thực)
Mô tả chung: Lỗ hổng này tồn tại trong dịch vụ postjournal của Zimbra, cho phép kẻ tấn công thực thi lệnh trên máy chủ dễ bị tổn thương mà không cần xác thực. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các email đặc biệt chứa mã độc trong trường CC, dẫn đến việc triển khai web shell và kiểm soát hoàn toàn máy chủ Zimbra bị ảnh hưởng.
Lỗ hổng có mã CVE-2024-45519, lỗ hổng bảo mật này cho phép kẻ tấn công thực thi lệnh trên máy chủ mà không cần xác thực. Tổ chức ProjectDiscovery đã công bố thông tin kỹ thuật về lỗ hổng này tuần trước, cùng với một mã khai thác PoC.
ProjectDiscovery giải thích rằng vấn đề cơ bản là thiếu sự kiểm soát đầu vào do người dùng cung cấp, cho phép kẻ tấn công tạo ra các thông điệp SMTP để chèn lệnh vào dịch vụ postjournal.
Các phiên bản Zimbra 9.0.0 Patch 41, 10.0.9, 10.1.1 và 8.8.15 Patch 46 đã sửa "một lỗ hổng bảo mật trong dịch vụ postjournal có thể cho phép người dùng chưa xác thực thực thi lệnh," theo thông báo của Zimbra thuộc sở hữu của Synacor.
Mặc dù dịch vụ này bị vô hiệu hóa theo mặc định, kẻ tấn công có thể khai thác lỗ hổng từ xa trên các máy chủ đã bật dịch vụ này, nếu cuộc tấn công xuất phát từ trong phạm vi mạng được cho phép.
Phương thức khai thác
Bản chất của lỗ hổng: Đây là một lỗ hổng nghiêm trọng trong dịch vụ postjournal của Zimbra. Lỗ hổng này cho phép kẻ tấn công thực thi lệnh trên máy chủ mà không cần xác thực - nghĩa là không cần tài khoản hay quyền truy cập hợp lệ.
Nguyên nhân gốc rễ: Vấn đề chính là thiếu sự kiểm soát (sanitization) đối với đầu vào do người dùng cung cấp. Điều này có nghĩa là hệ thống không lọc hoặc xử lý đúng cách các dữ liệu đầu vào, cho phép kẻ tấn công chèn các lệnh độc hại.
Cơ chế tấn công: Kẻ tấn công có thể tạo ra các thông điệp SMTP đặc biệt để chèn lệnh vào dịch vụ postjournal. Cụ thể, họ sử dụng trường CC trong email để chèn các địa chỉ giả mạo chứa mã độc được mã hóa base64.
Điều kiện khai thác:
Dịch vụ postjournal phải được bật (mặc dù theo mặc định nó bị tắt).
Cuộc tấn công phải xuất phát từ một phạm vi mạng được cho phép.
Kịch bản:
Gửi email giả mạo từ Gmail đến các địa chỉ giả trong trường CC.
Các địa chỉ CC chứa chuỗi base64 được thực thi bằng lệnh 'sh' trên máy chủ.
Mục tiêu là triển khai web shell trên máy chủ Zimbra bị ảnh hưởng.
Web shell này cho phép thực thi lệnh và triển khai thêm các payload khác.
Các email giả mạo Gmail đã được gửi đến các địa chỉ giả trong trường CC trong nỗ lực khiến các máy chủ Zimbra phân tích và thực thi chúng như các lệnh. Các địa chỉ chứa các chuỗi base64 được thực thi bằng tiện ích sh
Théo thực tế quan sát thấy các email sử dụng nhiều địa chỉ CC nhằm triển khai một web shell trên các máy chủ Zimbra bị ảnh hưởng. Web shell này hỗ trợ thực thi lệnh và triển khai payload.
Khuyến nghị
Giải pháp chính là cập nhật Zimbra lên các phiên bản đã được vá lỗi. Cụ thể:
Nâng cấp lên Zimbra 9.0.0 Patch 41 hoặc cao hơn
Nâng cấp lên Zimbra 10.0.9 hoặc cao hơn
Nâng cấp lên Zimbra 10.1.1 hoặc cao hơn
Nâng cấp lên Zimbra 8.8.15 Patch 46 hoặc cao hơn
Vô hiệu hóa dịch vụ postjournal nếu nó không cần thiết cho hoạt động của tổ chức. Lưu ý rằng dịch vụ này được tắt theo mặc định.
Giới hạn truy cập mạng có thể truy cập vào dịch vụ postjournal. Chỉ cho phép các địa chỉ IP đáng tin cậy và cần thiết.
Đào tạo nâng cao nhận thức về bảo mật cho nhân viên, đặc biệt là về các mối đe dọa email và cách nhận biết các email đáng ngờ.
Tham khảo
Critical Zimbra Vulnerability Exploited One Day After PoC Release <https://www.securityweek.com/critical-zimbra-vulnerability-exploited-one-day-after-poc-release/\>