Zimbra đã phát hành các bản cập nhật để giải quyết lỗ hổng zero-day bị khai thác tích cực trong các cuộc tấn công nhằm vào các máy chủ email Zimbra Collaboration Suite (ZCS) phiên bản 8.8.15, gây ảnh hưởng đến tính bảo mật và tính toàn vẹn của dữ liệu.
Lỗ hổng (hiện chưa có ID CVE) là một lỗi Cross-Site Scripting (XSS) được phát hiện bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG). Tin tặc có thể khai thác lỗ hổng để lấy cắp thông tin nhạy cảm của người dùng hoặc thực thi mã độc trên các hệ thống tồn tại lỗ hổng.
Mặc dù chưa cung cấp các bản vá để giải quyết lỗ hổng zero-day này, nhưng Zimbra đã cung cấp một bản sửa lỗi mà quản trị viên có thể áp dụng thủ công để loại bỏ vector tấn công.
Các bước để áp dụng bản sửa lỗi theo cách thủ công trên tất cả các Mailbox nodes như sau:
Bước 1: Sao lưu tập /opt/zimbra/jetty/webapps/zimbra/m/momoveto
Bước 2: Chỉnh sửa tệp và chuyển đến dòng số 40
Bước 3: Cập nhật giá trị tham số như sau:
<input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
Trước khi cập nhật, dòng xuất hiện như sau:
<input name=”st” type=”hidden” value=”${param.st}”/>
Sau khi cập nhật sẽ xuất hiện dòng như sau:
<input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
Sau khi thực hiện xong, không cần phải khởi động lại dịch vụ Zimbra.
Quản trị viên được khuyến nghị khắc phục lỗ hổng zero-day này càng sớm càng tốt, do trong những năm gần đây, nhiều lỗ hổng Zimbra đã được phát hiện trong tự nhiên để xâm phạm hàng trăm máy chủ email tồn tại lỗ hổng trên toàn thế giới.
Nguồn: Bleeeping Computer, Security Affairs