Zimbra đã phát hành các bản vá để chứa lỗ hổng bảo mật được khai thác tích cực trong bộ cộng tác doanh nghiệp của mình, có thể được tận dụng để tải các tệp tùy ý lên các trường hợp dễ bị tấn công.
Được theo dõi dưới dạng CVE-2022-41352 (điểm CVSS: 9.8), sự cố ảnh hưởng đến một thành phần của bộ Zimbra có tên Amavis, bộ lọc nội dung nguồn mở và cụ thể hơn là tiện ích cpio mà nó sử dụng để quét và trích xuất tài liệu lưu trữ.
Đến lượt nó, lỗ hổng này được cho là bắt nguồn từ một lỗ hổng cơ bản khác (CVE-2015-1197) được tiết lộ lần đầu tiên vào đầu năm 2015, theo Flashpoint đã được khắc phục, chỉ sau đó được hoàn nguyên trong các bản phân phối Linux sau này.
"Kẻ tấn công có thể sử dụng gói cpio để truy cập không chính xác vào bất kỳ tài khoản người dùng nào khác," Zimbra cho biết trong một lời khuyên được công bố vào tuần trước, nói thêm rằng họ "khuyến nghị pax hơn cpio."
Các bản sửa lỗi có sẵn trong các phiên bản sau -
Tất cả những gì kẻ thù đang tìm kiếm cần phải làm để vũ khí hóa thiếu sót là gửi một email có tệp đính kèm lưu trữ TAR được chế tạo đặc biệt, khi nhận được, sẽ được gửi đến Amavis, nơi sử dụng mô-đun cpio để kích hoạt khai thác.
Công ty an ninh mạng Kaspersky đã tiết lộ rằng các nhóm APT chưa được biết đến đã tích cực lợi dụng lỗ hổng trong tự nhiên, với một trong những tác nhân "lây nhiễm một cách có hệ thống cho tất cả các máy chủ dễ bị tấn công ở Trung Á".
Các cuộc tấn công, diễn ra qua hai đợt tấn công vào đầu và cuối tháng XNUMX, chủ yếu nhắm vào các tổ chức chính phủ trong khu vực, lạm dụng chỗ đứng ban đầu để thả vỏ web trên các máy chủ bị xâm nhập cho các hoạt động tiếp theo.
Dựa trên thông tin được chia sẻ bởi công ty ứng phó sự cố Volexity, khoảng 1.600 máy chủ Zimbra được ước tính đã bị nhiễm bệnh trong cái mà họ gọi là "sự kết hợp giữa các cuộc tấn công có chủ đích và cơ hội".
"Một số đường dẫn vỏ web [...] đã được sử dụng trong khai thác có mục tiêu (có khả năng là APT) của các tổ chức chủ chốt trong chính phủ, viễn thông và CNTT, chủ yếu ở châu Á; những người khác đã được sử dụng trong khai thác lớn trên toàn thế giới, "công ty cho biết trong một loạt tweet.