ພົບ​ຊ່ອງ​ໂຫວ່​ຮ້າຍແຮງ​ໃນ​ Zimbra Email Server ກຳ​ລັງ​ຖືກ​ໂຈມ​ຕີ ​ແນະນໍາໃຫ້ຮີບດ່ວນ​ອັບ​ເດດ​

ພົບ​ຊ່ອງ​ໂຫວ່​ຮ້າຍແຮງ​ເທິງ​ Zimbra Email Server ໝາຍ​ເລກ​ອ້າງ​ອີງ​ CVE-2024-45519 ຊຶ່ງ​ກຳ​ລັງ​ຖືກ​ໃຊ້​ໂຈມ​ຕີ​ໃນ​ວົງ​ກວ້າງ​ ພຽງ​ແຕ່​ຄົນຮ້າຍ​ສົ່ງ​ອີ​ເມວ​ເຂົ້າໄປ​ຫາ​ SMTP Server. ດັ່ງ​ນັ້ນ, ​ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້ເບິ່ງແຍງລະບົບ​ທີ່​ກ່ຽວ​ຂ້ອງ​ ຮີບດ່ວນ​ອັບ​ເດດ​ ຫຼື ​ຫາ​ມາດຕະ​ການ​ປ້ອງ​ກັນ​.

ຊ່ອງ​ໂຫວ່​ເກີດ​ຂຶ້ນ​ໃນ​ postjournal service ທີ່​ມີ​ຫນ້າທີ່​ parse ອີ​ເມວຂາ​ເຂົ້າ​ທີ່​ມາເທິງ​ SMTP ໂດຍ​ພຽງ​ແຕ່ແຮັກ​ເກີ​​ສ້າງ​ອີ​ເມວພິເສດ​ທີ່​ມີ​ຄຳ​ສັ່ງ​ execute ໃນ​ field CC ເຂົ້າໄປ​ປະ​ມວນ​ຜົນ​ທີ່​ service ດັ່ງ​ກ່າວ​.

ຈາກ​ການ​ວິ​ເຄາະ​ຂອງ​ຜູ້​ຊ່ຽວ​ຊານ​ພົບ​ເຫັນວ່າ ຄົນ​ຮ້າຍ​ໄດ້​ປອມ​ແປງ​ການ​ສົ່ງ​ຈາກ​ Gmail ທີ່​ມີ​ອີ​ເມວປອມ​ ມາພ້ອມ​ກັບ​ໂຄ້ດ​ອັນຕະລາຍ (Malicious Code) ​ໃນ​ field CC ໂດຍ​ອີ​ເມວ​ໄດ້ເຮັດ​ base-64 encode String ຊຶ່ງ​ຈະ​ຖືກ​ execute ຜ່ານ​ shell ເພື່ອ​ຕິດ​ຕັ້ງ​ webshell ໃນ​ເ​ຊີ​ເວີ​ Zimbra ຫຼັງ​ຈາກ​ນັ້ນ ​ຈະດັກ​ຟັງ​ການ​ເຊື່ອມ​ຕໍ່​ຂາ​ເຂົ້າ​ໃນ​ຄ່າ​ cookie ທີ່ສົ​ນ​ໃຈ​ ເພື່ອລໍຖ້າ​ການ​ປະຕິບັດການ​ຕໍ່​ ເພື່ອ​ແຊກ​ແຊງ​ເ​ຊີ​ເວີ​​ຢ່າງສົມບູນ​.

ນອກຈາກນີ້, ຍັງ​ພົບເ​ຫັນການ​ໂຈມ​ຕີ​ໃນ​ວົງ​ກວ້າງ​ຫຼັງ​ມີ​ຜູ້​ຊ່ຽວ​ຊານ​ໄດ້ເປີດ​ເຜີຍ​ເຖິງ​ໂຄ້ດ (Code) ​ສາ​ທິດ​ ໂດຍ​ສອດ​ຄ້ອງ​ກັບເນື້ອ​ຫາ​ຂອງ​ການ​ໂຈມ​ຕີ​.

ໃນ​ດ້ານ​ການ​ປ້ອງ​ກັນ​, Zimbra ໄດ້​ແພັດ​ (Patch) ປ້ອງ​ກັນ​ໃນ​ເວີ​​ຊັ່ນ​ 9.0.0 Patch 41 ແລະ ​ເວີ​​ຊັ່ນ​ 10.0.9, 10.1.1 ແລະ​ 8.8.15 Patch 46 ຊຶ່ງ​ຫຼັງ​ຈາກ​ແກະ​ເບິ່ງ​ວິທີ​ການ​ ຄົ້ນພົບ​ວ່າ​ Zimbra ໄດ້​ປ່ຽນ​ຟັງ​ຊັ່ນ​ເພື່ອ​ຈັດການ​ input ໃຫ້​ດີ​ຂຶ້ນ​ ແຕ່​ເບິ່ງແລ້ວ​ຄື​ວ່າ​ການ​ໂຈມ​ຕີ​ postjournal service ຜ່ານ​ Port​ 10027 ຍັງ​ພໍ​ທີ່ຈະເປັນ​ໄປ​ໄດ້​ ແລະ​ ມີ​ໂຄ້ດ​ພ້ອມ​ໃຊ້​ໃນ​ຮູບ​ແບບ​ສະຄຣິບ Python ເທິງ​ GitHub ອີກດ້ວຍ.​ ດັ່ງ​ນັ້ນ​, ອີກ​ແນວ​ທາງ​ໜຶ່ງ ​ຄື​ການ​ປິດ​ບໍລິການ​ postjournal ຫາກ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ ແລະ ​ຕັ້ງ​ຄ່າ​ mynetworks ໃຫ້​ຖືກ​ຕ້ອງ​ ປ້ອງ​ກັນ​ການ​ເຂົ້າ​ເຖິງ ທີ່​ບໍ່​ພຶງ​ປະສົງ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/critical-zimbra-rce-flaw-exploited-to-backdoor-servers-using-emails/
  2. https://www.techtalkthai.com/zimbra-email-server-cve-2024-45519/
599 Views