ພົບຊ່ອງໂຫວ່ຮ້າຍແຮງເທິງ Zimbra Email Server ໝາຍເລກອ້າງອີງ CVE-2024-45519 ຊຶ່ງກຳລັງຖືກໃຊ້ໂຈມຕີໃນວົງກວ້າງ ພຽງແຕ່ຄົນຮ້າຍສົ່ງອີເມວເຂົ້າໄປຫາ SMTP Server. ດັ່ງນັ້ນ, ຈຶ່ງແນະນຳໃຫ້ຜູ້ເບິ່ງແຍງລະບົບທີ່ກ່ຽວຂ້ອງ ຮີບດ່ວນອັບເດດ ຫຼື ຫາມາດຕະການປ້ອງກັນ.
ຊ່ອງໂຫວ່ເກີດຂຶ້ນໃນ postjournal service ທີ່ມີຫນ້າທີ່ parse ອີເມວຂາເຂົ້າທີ່ມາເທິງ SMTP ໂດຍພຽງແຕ່ແຮັກເກີສ້າງອີເມວພິເສດທີ່ມີຄຳສັ່ງ execute ໃນ field CC ເຂົ້າໄປປະມວນຜົນທີ່ service ດັ່ງກ່າວ.
ຈາກການວິເຄາະຂອງຜູ້ຊ່ຽວຊານພົບເຫັນວ່າ ຄົນຮ້າຍໄດ້ປອມແປງການສົ່ງຈາກ Gmail ທີ່ມີອີເມວປອມ ມາພ້ອມກັບໂຄ້ດອັນຕະລາຍ (Malicious Code) ໃນ field CC ໂດຍອີເມວໄດ້ເຮັດ base-64 encode String ຊຶ່ງຈະຖືກ execute ຜ່ານ shell ເພື່ອຕິດຕັ້ງ webshell ໃນເຊີເວີ Zimbra ຫຼັງຈາກນັ້ນ ຈະດັກຟັງການເຊື່ອມຕໍ່ຂາເຂົ້າໃນຄ່າ cookie ທີ່ສົນໃຈ ເພື່ອລໍຖ້າການປະຕິບັດການຕໍ່ ເພື່ອແຊກແຊງເຊີເວີຢ່າງສົມບູນ.

ນອກຈາກນີ້, ຍັງພົບເຫັນການໂຈມຕີໃນວົງກວ້າງຫຼັງມີຜູ້ຊ່ຽວຊານໄດ້ເປີດເຜີຍເຖິງໂຄ້ດ (Code) ສາທິດ ໂດຍສອດຄ້ອງກັບເນື້ອຫາຂອງການໂຈມຕີ.
ໃນດ້ານການປ້ອງກັນ, Zimbra ໄດ້ແພັດ (Patch) ປ້ອງກັນໃນເວີຊັ່ນ 9.0.0 Patch 41 ແລະ ເວີຊັ່ນ 10.0.9, 10.1.1 ແລະ 8.8.15 Patch 46 ຊຶ່ງຫຼັງຈາກແກະເບິ່ງວິທີການ ຄົ້ນພົບວ່າ Zimbra ໄດ້ປ່ຽນຟັງຊັ່ນເພື່ອຈັດການ input ໃຫ້ດີຂຶ້ນ ແຕ່ເບິ່ງແລ້ວຄືວ່າການໂຈມຕີ postjournal service ຜ່ານ Port 10027 ຍັງພໍທີ່ຈະເປັນໄປໄດ້ ແລະ ມີໂຄ້ດພ້ອມໃຊ້ໃນຮູບແບບສະຄຣິບ Python ເທິງ GitHub ອີກດ້ວຍ. ດັ່ງນັ້ນ, ອີກແນວທາງໜຶ່ງ ຄືການປິດບໍລິການ postjournal ຫາກບໍ່ຈຳເປັນຕ້ອງໃຊ້ ແລະ ຕັ້ງຄ່າ mynetworks ໃຫ້ຖືກຕ້ອງ ປ້ອງກັນການເຂົ້າເຖິງ ທີ່ບໍ່ພຶງປະສົງ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/critical-zimbra-rce-flaw-exploited-to-backdoor-servers-using-emails/
- https://www.techtalkthai.com/zimbra-email-server-cve-2024-45519/
