Lỗ hổng zero-day (CVE-2022-41352, điểm CVSS v3 9,8) là một lỗi thực thi mã từ xa nghiêm trọng trong Zimbra Collaboration 8.8.15 và 9.0 phát sinh từ việc sử dụng không an toàn tiện ích cpio.

Để khai thác lỗ hổng, kẻ tấn công gửi email có đính kèm các tệp .cpio, .tar hoặc .rpm đến máy chủ bị ảnh hưởng. Khi trình diệt virus Amavis của Zimbra kiểm tra các tệp này để tìm mã độc, Amavis sẽ sử dụng cpio để giải nén tệp. Vì cpio không có chế độ xử lý an toàn với các tệp kho lưu trữ, kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập. Kết quả, kẻ tấn công có thể cài shell vào trong web root để thực thi mã từ xa, cùng nhiều hành động khác.

Các phiên bản bị ảnh hưởng bao gồm:

1. Các bản phân phối Red Hat do pax không được cài mặc định.

2. Về các bản phân phối Linux mà Zimbra chính thức hỗ trợ, gồm:

    + Oracle Linux 8

    + Red Hat Enterprise Linux 8

    + Rocky Linux 8

    + CentOS 8

    + Ubuntu 20.04 (cài pax theo mặc định) và Ubuntu 18.04 (cài pax và cpio có bản vá tùy chỉnh của Ubuntu) không có nguy cơ bị tấn công.

Theo thống kê của WhiteHat, Việt Nam có khoảng 1.000 dịch vụ mail public trên Internet. Quản trị viên được khuyến cáo cài đặt tiện ích pax sau đó khởi động lại hệ thống. Ngoài ra, cần theo dõi các bản cập nhật từ Zimbra.

Bkav