พบช่องโหว่ Zimbra RCE กำลังถูกโจมตี จำเป็นต้องอัปเดตแพตช์โดยด่วน

สรุปข้อมูล 

Zimbra เพิ่งเปิดเผยช่องโหว่ใหม่ในเซิร์ฟเวอร์ SMTP ของตน ทำให้เกิดความเร่งด่วนสำหรับองค์กรที่ได้รับผลกระทบในการอัปเดตแพตช์โดยด่วน ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2024-45519 ซึ่งพบในส่วนประกอบ postjournal ของ Zimbra ที่ใช้สำหรับบันทึกและเก็บอีเมล โดยช่องโหว่นี้อนุญาตให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถดำเนินการคำสั่งที่ต้องการบนระบบที่มีช่องโหว่และควบคุมมันได้ โดยปัจจุบัน Zimbra ได้ออกอัปเดตสำหรับเวอร์ชันที่ได้รับผลกระทบแล้ว แต่ยังไม่มีการเผยแพร่รายละเอียดของช่องโหว่นี้ออกมา

รายละเอียดช่องโหว่ 

CVE-2024-45519 เกิดขึ้นในส่วนประกอบ postjournal service ของ Zimbra ซึ่งใช้ในการบันทึกและจัดเก็บอีเมล การโจมตีนี้ เกิดจากการที่ระบบไม่ได้ตรวจสอบข้อมูลที่ป้อนเข้ามาอย่างถูกต้อง ทำให้ผู้โจมตีสามารถรันโค้ดในคำสั่ง Shell บนเซิร์ฟเวอร์ได้การโจมตีมักใช้วิธีการส่ง Gmail ปลอม โดยใส่โค้ดที่เข้ารหัสเป็น base64 ในฟิลด์ CC แทนที่อยู่อีเมลปกติ ทำให้เซิร์ฟเวอร์ Zimbra เข้าใจผิดและรันโค้ดอันตรายนี้ นอกจากนี้ Web Shell ที่สร้างจากการโจมตีนี้จะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์จากระยะไกล เพื่อแก้ไขไฟล์ เรียกดูข้อมูลที่สำคัญ และรันคำสั่งเพิ่มเติม เช่น การดาวน์โหลดและติดตั้งมัลแวร์ ผู้โจมตียังสามารถส่งคำสั่งเพิ่มเติมผ่านคุกกี้ที่กำหนดไว้ล่วงหน้าในคำขอ HTTP เพื่อเรียกใช้คำสั่งต่าง ๆ ได้ตามต้องการ

ผลกระทบจากการโจมตี 

ผลกระทบจากการเข้าถึงเซิร์ฟเวอร์ Zimbra ได้จากระยะไกลโดยไม่ได้รับอนุญาต ผ่านการใช้ Web Shell ที่ช่วยให้สามารถ ควบคุมระบบได้โดยสมบูรณ์ ผู้โจมตีสามารถแก้ไขไฟล์ เข้าถึงข้อมูลสำคัญ เช่น อีเมลหรือข้อมูลที่เก็บถาวร และสามารถรันโค้ดที่เป็นอันตราย ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์เพิ่มเติม และอาจส่งผลให้บริการขององค์กรหยุดชะงัก ข้อมูลสูญหาย หรือถูกละเมิด นอกจากนี้ยังเพิ่มความเสี่ยงต่อการถูกโจมตีซ้ำในอนาคต หากไม่ได้รับการแก้ไข

สรุปการโจมตี 

การโจมตี CVE-2024-45519 ใช้ช่องโหว่ในส่วน postjournal service ของ Zimbra ทำให้ผู้โจมตีสามารถส่งอีเมลปลอมที่ดูเหมือนมาจาก Gmail โดยใช้โค้ดที่เข้ารหัส base64 ในช่อง CC เพื่อหลอกให้เซิร์ฟเวอร์ Zimbra รันโค้ดที่เป็นอันตรายได้ จากนั้นผู้โจมตีสามารถสร้าง Web Shell ซึ่งช่วยให้เข้าถึงเซิร์ฟเวอร์จากระยะไกล สามารถแก้ไขไฟล์ เข้าถึงข้อมูลที่ละเอียดอ่อน เช่น อีเมล และรันคำสั่งเพิ่มเติมได้ รวมถึงการติดตั้งมัลแวร์เพิ่มเติม

คำแนะนำ

• อัปเดตแพตช์ล่าสุดของ Zimbra ทันที
  
• ตรวจสอบการเชื่อมต่อและพฤติกรรมที่ผิดปกติบนเซิร์ฟเวอร์
  
• เสริมมาตรการความปลอดภัยโดยใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA)
  
• การตรวจสอบสิทธิ์ผู้ใช้ การใช้ไฟร์วอลล์ และระบบตรวจจับการบุกรุก
  

แหล่งอ้างอิง

hxxps[://]www[.]darkreading[.]com/cyberattacks-data-breaches/recent-zimbra-rce-under-attack-patch-now