ผู้เชี่ยวชาญแนะเร่งอัปเดตช่องโหว่ RCE ของ Zimbra หลังพบการโจมตีจริง

ผู้ใช้งาน Zimbra Collaboration (มี Email Server และ Web Client อยู่ในนี้ด้วย) จำเป็นต้องเร่งอัปเดตแพตช์ช่องโหว่ CVE-2022-41352 เพราะคนร้ายอาจใช้เพื่อโจมตีจากทางไกล

ปัญหาเกิดจากการที่กลไก Antivirus ใน Zimbra ที่ชื่อ Amavis ได้ใช้กระบวนวิธีการ cpio เพื่อสแกนอีเมลขาเข้า โดยช่องโหว่นี้หากคนร้ายมีการใช้ไฟล์ .cpio, .tar, หรือ .rpm เข้ามาก็จะนำไปสู่การลอบรับโค้ดจากทางไกลได้ เรื่องราวนี้ได้ถูกเปิดเผยโดยทีมงานจาก Rapid7

วิธีการแก้ไขก็คือแนะนำให้ใช้แพ็กเกจอื่นอย่าง pax แทน cpio ซึ่งหากเป็นผู้ใช้ Zimbra บน Ubuntu 18.04 หรือ 20.04 ก็รอดตัวไป แต่ดิสโทรอื่นๆอย่าง Oracle Linux 8, RHEL 8, Rocky Linux 8 และ CentOS 8 ต่างเป็นปัญหาหมดเพราะไม่ใช้ pax เป็นค่าพื้นฐาน คาดว่าในเวอร์ชันต่อไปของ Zimbra ทีมงานจะอัปเกรตกลไกเป็น pax แทน

ในปีนี้มีช่องโหว่เกิดกับ Zimbra มาแล้วหลายครั้ง ซึ่งคล้ายกันแต่ใช้ไฟล์คนละรูปแบบคือ CVE-2022-30333 ถือว่าเป็นปีที่ท้าทายกับผู้ใช้งาน Zimbra อยู่เหมือนกัน

ที่มา : https://www.securityweek.com/critical-zimbra-rce-vulnerability-exploited-attacks