พบช่องโหว่ authentication bypass ใน Zimbra Email ที่กำลังถูกใช้ในการโจมตีเซิร์ฟเวอร์อีเมล Zimbra Collaboration Suite (ZCS) หลายแห่งทั่วโลก
Zimbra เป็นแพลตฟอร์มอีเมลที่ใช้ในธุรกิจมากกว่า 200,000 แห่งจากกว่า 140 ประเทศ รวมถึงหน่วยงานภาครัฐ และภาคการเงินมากกว่า 1,000 แห่ง
Volexity บริษัทข่าวกรองด้านภัยคุกคามเปิดเผยว่า กำลังพบการโจมตีโดยใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ ZCS ซึ่งมีหมายเลข CVE-2022-27925 ร่วมกับช่องโหว่ authentication bypass ที่มีหมายเลข CVE-2022-37042 ซึ่งปัจจุบัน Zimbra ออกแพตซ์สำหรับแก้ไขช่องโหว่ออกมาแล้วในวันที่ 10 สิงหาคม 2565
Volexity ระบุว่าช่องโหว่นี้ถูกใช้ในลักษณะที่เหมือนกับช่องโหว่ zero-day ของ Microsoft Exchange ที่ถูกพบเมื่อต้นปี 2564 ซึ่งหากโจมตีได้สำเร็จ ผู้โจมตีจะสามารถติดตั้ง web shells บนเซิร์ฟเวอร์ที่ถูกโจมตี เพื่อให้สามารถกลับเข้ามาควบคุมเครื่องได้ตลอดเวลา หากผู้ใช้งานมีการใช้งาน Zimbra เวอร์ชัน 8.8.15 patch 33 หรือ Zimbra 9.0.0 patch 26 ควรรีบอัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
เซิร์ฟเวอร์มากกว่า 1,000 แห่งอาจกำลังถูกบุกรุก
หลังจากมีหลักฐานจากการตรวจสอบเซิร์ฟเวอร์อีเมล Zimbra ที่ถูกโจมตีโดยใช้ช่องโหว่ CVE-2022-27925 และช่องโหว่ authentication bypass CVE-2022-37042
Volexity จึงได้ทำการสแกนเพื่อระบุอินสแตนซ์ของ ZCS กว่า 1,000 รายการทั่วโลกที่มีช่องโหว่ และคาดว่าน่าจะถูกโจมตีไปแล้ว โดยสังเกตจากข้อมูล web shells ที่ถูกติดตั้งไว้บนระบบ ซึ่งอินสแตนซ์ ZCS เหล่านี้เป็นขององค์กรระดับโลกหลายแห่ง รวมถึงหน่วยงาน และกระทรวงของรัฐบาล หน่วยงานทหาร และธุรกิจทั่วโลกที่มีรายได้หลายพันล้านดอลลาร์
โดย Volexity ระบุว่าได้รายงานข้อมูลทั้งหมดไปยัง Zimbra และทีม Computer Emergency Response Team (CERTs) ในแต่ละประเทศที่พบว่ามีองค์กรถูกโจมตี โดยปัจจุบัน Zimbra ได้ออกแพตซ์อัปเดตเวอร์ชัน 8.8.15 patch 33 และ Zimbra 9.0.0 patch 26 ผู้ดูแลระบบควรอัปเดตแพตช์เซิร์ฟเวอร์ทันทีเพื่อป้องกันการถูกการโจมตี
นอกจากนี้ CISA ได้มีการเพิ่มช่องโหว่ของ Zimbra ที่มีระดับความรุนแรงสูงอีก 1 รายการ ที่มีหมายเลข CVE-2022-27924 ไปยัง Known Exploited Vulnerabilities Catalog ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ใช้งานออกไปได้
ที่มา: bleepingcomputer