یک آسیبپذیری حیاتی در سرویسدهنده ایمیل زیمبرا کشف شد که هکر میتواند با استفاده از این آسیبپذیری به سیستم استفادهکننده از این سرویس دسترسی پیدا کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو
آسیبپذیری حیاتی شناسایی شده در سرویسدهنده ایمیل زیمبرا (Zimbra) بصورت گسترده مورد سوء استفاده مهاجمان قرار گرفته است. این دو آسیبپذیری شامل آسیبپذیری RCE به شناسه CVE-۲۰۲۲-۲۷۹۲۵ و آسیبپذیری authentication bypass به شناسهی CVE-۲۰۲۲-۳۷۰۴۲ است.
ترکیب این دو آسیبپذیری باعث شده مهاجم بتواند با ایجاد یک فایل ZIP محتوی یک فایل با آدرس نسبی، نسبت به جایگذاری فایل در مسیر مشخص اقدام کنند. این دو آسیبپذیری در patch نسخههای ۹.۰.۰P۲۶ و ۸.۸.۱۵P۳۳ رفع شدهاند.
بهرهبرداری از این آسیبپذیری از طریق ارسال درخواست HTTP post به سرویسدهنده وب زیمبرا صورت میگیرد.
با توجه به سوء استفاده گسترده از این آسیبپذیریها طی یک ماه گذشته، چنانچه سرویس webmail زیمبرا روی اینترنت قرار داشته، به احتمال بسیار زیاد مورد نفوذ قرار گرفته است.
به منظور بررسی نفوذ احتمالی لازم است اقدامات زیر انجام شود:
۱. بررسی لاگهای دسترسی webmail و جستجوی الگوی حمله
برای این کار به شرط در دسترس بودن لاگهای access log بلندمدت (بیش از یک ماه) میتوان با جستجوی عبارت زیر، اقدام به سوء استفاده از آسیبپذیری را بررسی کرد:
mboximport?account-name=admin
به عنوان نمونه، میتوان در کنسول سیستم عامل میزبان زیمبرا به صورت زیرجستجوی فوق را انجام داد:
sudo grep -r "mboximport?account-name=admin" /opt/zimbra/log
۲. در صورت نفوذ موفق به سرور از این روش، مهاجم از طریق بارگذاری webshell در سرویس دهنده وب، امکان اجرای فرامین را از راه دور بهدست میآورد. جهت کشف وبشلهای بارگذاری شده احتمالی، میتوان نسبت به مقایسه فایلهای “.jsp” سرویسدهنده وب با فهرست فایلهای موجود در زیمبرا اقدام کرده و هر فایل مشاهده اضافی را مورد بررسی قرار داد. فهرست فایلهای مجاز “.jsp” برخی از نسخههای زیمبرا در آدرس زیر موجود است:
۳. در صورت تایید نفوذ مهاجمان به سرور:
• احتمال دسترسی مهاجم یه تمامی اطلاعات سرور ازجمله محتوای ایمیلها وجود دارد.
• لازم است نسبت به نصب سرور جدید، نصب آخرین بروزرسانی و patch منتشر شده و انتقال تنظیمات و اطلاعات ایمیلها به سرور جدید اقدام شود. جهت این کار میتوان از راهنمای زیر استفاده نمود:
دریافت صفحه با کد QR