Gần 900 máy chủ đã bị tấn công bằng cách lợi dụng lỗ hổng zero-day nghiêm trọng trong bộ công cụ Zimbra Collaboration Suite (ZCS). Lỗ hổng này đã bị công khai trong một tháng rưỡi mà không có bản vá.
Lỗ hổng được theo dõi dưới mã CVE-2022-41352 và là một lỗ hổng thực thi code từ xa, cho phép hacker gửi email đính kèm file độc hại tạo một web shell trong máy chủ ZCS và đồng thời vượt qua các kiểm tra virus.
Theo công ty an ninh mạng Kaspersky, nhiều nhóm hacker khác nhau đã tích cực khai thác lỗ hổng này ngay sau khi nó được báo cá trên các diễn đàn Zimbra.
Chia sẻ với trang BleepingComputer, Kaspersky cho biết rằng họ đã phát hiện ít nhất 876 máy chủ bị xâm nhập bởi những kẻ tấn công với các phương thức tinh vi. Chúng đã tìm cách lợi dụng lỗ hổng bảo mật này trước khi nó được công bố rộng rãi và được gán mã CVE.
Đang bị khai thác tích cực
Tuần trước, một báo cáo của Rapid7 đã cảnh báo về việc lỗ hổng CVE-2022-41352 đang bị khai thác tích cực và kêu gọi admin áp dụng các giải pháp khắc phục sẵn có bởi khi đó chưa có bản vá bảo mật chính thức.
Trong cùng ngày hôm đó, một proof of concept (PoC) đã được thêm vào framework Metasploit, cho phép cả những hacker kỹ năng kém cũng có thể khởi động những cuộc tấn công hiệu quả vào các máy chủ dễ bị tấn công.
Kể từ đó, Zimbra đã phát hành bản vá lỗi bảo mật với phiên bản ZCS 9.0.0 P27, thay thế thành phần dễ bị tấn công (cpio) bằng Pax và loại bỏ các phần yếu có khả năng khiến việc khai thác dễ diễn ra hơn.
Tuy nhiên, ngay sau đó tốc độ khai thác đã được đẩy nhanh và nhiều nhóm hacker bắt đầu tung ra những cuộc tấn công để tận dụng cơ hội.
Báo cáo gần đây của Volexity cho biết các nhà phân tích của họ xác định được khoảng 1.600 máy chủ ZCS mà họ tin rằng đã bị xâm nhập bởi các hacker lợi dụng lỗ hổng CVE-2022-41352.
Được sử dụng bởi các nhóm hacker khét tiếng
Trong các cuộc trao đổi riêng với công ty an ninh mạng Kaspersky, BleepingComputer được cho biết rằng một nhóm hacker không xác định đã tận dụng lỗ hổng nghiêm trọng có khả năng đã tạo ra một phương thức khai thác hiệu quả từ các thông tin được đăng tải trên các diễn đàn Zimbra.
Các cuộc tấn công đầu tiên xuất hiện vào tháng 9, nhắm vào các máy chủ Zimbra dễ bị tấn công ở Ấn Độ và một số ở Thổ Nhĩ Kỳ. Làn sóng tấn công ban đầu này có thể chỉ là thử nghiệm, nhắm vào các mục tiêu có giá trị thấp để đánh giá mức độ hiệu quả của cuộc tấn công.
Tuy nhiên, Kaspersky đánh giá rằng hacker đã xâm nhập 44 máy chủ trong đợt tấn công đầu tiên.
Ngay sau khi lỗ hổng được công khai, các hacker đã chuyển hướng sang tấn công hàng loạt, hy vọng xâm nhập được vào càng nhiều máy chủ trên toàn thế giới các tốt trước khi admin tiến hành vá lỗi, đóng cánh cửa truy cập của hacker.
Làn sóng tấn công thứ hai có tác động lớn hơn, lây nhiễm 832 máy chủ với webshell độc hại. Tuy nhiên, mục tiêu của đợt tấn công thứ hai có vẻ ngẫu nhiên hơn so với đợt trước đó.
Do hacker vẫn đang tích cực khai thác và không có dấu hiệu chấm dứt trong tương lai gần nên các admin cần ngay lập tức áp dụng các bản cập nhật bảo mật ZCS từ Zimbra hoặc các biện pháp khắc phục khác.