Những kẻ tấn công khai thác lỗ hổng Zimbra quan trọng bằng địa chỉ email cc

Tác giả tanthanh 13/03/2026 10 phút đọc

Các nhà nghiên cứu cảnh báo, những kẻ tấn công đang tích cực khai thác một lỗ hổng nghiêm trọng trong các máy chủ thư do Zimbra bán nhằm cố gắng thực thi từ xa các lệnh độc hại cài đặt cửa sau.

Lỗ hổng, được theo dõi là CVE-2024-45519, nằm trong email Zimbra và máy chủ cộng tác được sử dụng bởi các tổ chức vừa và lớn. Khi quản trị viên thay đổi cài đặt mặc định theo cách thủ công để bật dịch vụ postjournal, kẻ tấn công có thể thực thi lệnh bằng cách gửi email được tạo độc hại đến một địa chỉ được lưu trữ trên máy chủ. Zimbra gần đây đã vá lỗ hổng. Tất cả người dùng Zimbra nên cài đặt nó hoặc ít nhất là đảm bảo rằng postjournal bị tắt.

Dễ dàng, vâng, nhưng đáng tin cậy?

Hôm thứ Ba, nhà nghiên cứu bảo mật Ivan Kwiatkowski báo cáo đầu tiên các cuộc tấn công trong hoang dã, mà ông mô tả là “khai thác hàng loạt.” Ông cho biết các email độc hại đã được gửi bởi địa chỉ IP 79.124.49[.]86 và, khi thành công, đã cố gắng chạy một tệp được lưu trữ ở đó bằng công cụ được gọi là curl. Các nhà nghiên cứu từ công ty bảo mật Proofpoint đã lên mạng xã hội vào cuối ngày hôm đó để xác nhận báo cáo.

Hôm thứ Tư, các nhà nghiên cứu an ninh đã cung cấp thêm thông tin chi tiết cho thấy thiệt hại do việc khai thác đang diễn ra có thể sẽ được ngăn chặn. Như đã lưu ý, họ cho biết, cài đặt mặc định phải được thay đổi, có khả năng làm giảm số lượng máy chủ dễ bị tấn công.

Nhà nghiên cứu bảo mật Ron Bowes tiếp tục báo cáo rằng “payload không thực sự làm bất cứ điều gì—it tải xuống một tệp (để stdout) nhưng không làm bất cứ điều gì với nó.” Anh ấy nói rằng trong khoảng thời gian khoảng một giờ trước đó vào thứ Tư, một máy chủ hũ mật ong mà anh ấy vận hành để quan sát các mối đe dọa đang diễn ra đã nhận được khoảng 500 yêu cầu. Ông cũng báo cáo rằng tải trọng không được phân phối trực tiếp qua email mà thông qua kết nối trực tiếp với máy chủ độc hại thông qua SMTP, viết tắt của Giao thức truyền thư đơn giản.

“Đó là tất cả những gì chúng tôi đã thấy (cho đến nay), nó không thực sự giống như một cuộc tấn công nghiêm trọng,” Bowes viết. “Tôi sẽ theo dõi nó và xem họ có thử gì khác không!”

Trong một email được gửi vào chiều thứ Tư, nhà nghiên cứu của Proofpoint, Greg Lesnewich dường như phần lớn đồng tình rằng các cuộc tấn công không có khả năng dẫn đến nhiễm trùng hàng loạt có thể cài đặt ransomware hoặc phần mềm độc hại gián điệp. Nhà nghiên cứu đã cung cấp các chi tiết sau:

Trong khi các nỗ lực khai thác mà chúng tôi đã quan sát được là bừa bãi trong việc nhắm mục tiêu, chúng tôi đã không thấy một khối lượng lớn các nỗ lực khai thác
Dựa trên những gì chúng tôi đã nghiên cứu và quan sát, việc khai thác lỗ hổng này rất dễ dàng, nhưng chúng tôi không có bất kỳ thông tin nào về mức độ đáng tin cậy của việc khai thác
Việc khai thác vẫn giữ nguyên kể từ lần đầu tiên chúng tôi phát hiện ra nó vào ngày 28 tháng 9
Có sẵn PoC và các nỗ lực khai thác có vẻ mang tính cơ hội
Việc khai thác rất đa dạng về mặt địa lý và có vẻ bừa bãi
Việc kẻ tấn công đang sử dụng cùng một máy chủ để gửi email khai thác và lưu trữ tải trọng giai đoạn hai cho thấy tác nhân không có bộ cơ sở hạ tầng phân tán để gửi email khai thác và xử lý lây nhiễm sau khi khai thác thành công. Chúng tôi hy vọng máy chủ email và máy chủ tải trọng sẽ là các thực thể khác nhau trong một hoạt động trưởng thành hơn.
Những người bảo vệ bảo vệ các thiết bị Zimbra nên chú ý đến các địa chỉ CC hoặc To lẻ trông không đúng định dạng hoặc chứa các chuỗi đáng ngờ, cũng như nhật ký từ máy chủ Zimbra cho biết các kết nối gửi đi đến địa chỉ IP từ xa.

Proofpoint đã giải thích rằng một số email độc hại đã sử dụng nhiều địa chỉ email, khi được dán vào trường CC, đã cố gắng cài đặt cửa hậu dựa trên webshell trên các máy chủ Zimbra dễ bị tấn công. Danh sách cc đầy đủ được gói dưới dạng một chuỗi duy nhất và được mã hóa bằng thuật toán base64. Khi được kết hợp và chuyển đổi trở lại thành bản rõ, họ đã tạo một webshell tại đường dẫn: /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.

Proofpoint tiếp tục cho biết: “Sau khi cài đặt, webshell sẽ lắng nghe kết nối gửi đến với trường Cookie JSESSIONID được xác định trước; nếu có, webshell sẽ phân tích cú pháp cookie JACTION cho các lệnh base64. Webshell có hỗ trợ thực thi lệnh thông qua exec hoặc tải xuống và thực thi tệp qua kết nối ổ cắm.”

Proofpoint cho biết họ lần đầu tiên phát hiện các cuộc tấn công vào ngày 28/9. Một ngày trước đó, các nhà nghiên cứu tại Project Discovery đã thiết kế ngược bản vá do Zimbra phát hành và phát hành một bản khai thác bằng chứng khái niệm chứng minh cách thức hoạt động của nó.

Một khám phá dự án viết lên cho biết các nhà nghiên cứu đã có thể khai thác lỗ hổng trong phòng thí nghiệm của họ bằng cách sử dụng một email có chứa những nội dung sau:

EHLO localhost
MAIL FROM: <aaaa@mail.domain.com>
RCPT TO: <"aabbb;touch${IFS}/tmp/pwn;"@mail.domain.com>
DATA
aaa
.</aaaa@mail.domain.com>

Tuy nhiên, họ báo cáo rằng việc khai thác của họ không đáng tin cậy.

“Ban đầu, chúng tôi tiến hành thử nghiệm này trên máy chủ Zimbra của riêng mình để chứng minh khái niệm, các nhà nghiên cứu viết. “Tuy nhiên, khi cố gắng khai thác lỗ hổng từ xa qua internet, chúng tôi đã gặp phải lỗi.”

Bất chấp các yếu tố giảm nhẹ, CVE-2024-45519 vẫn là mối đe dọa tiềm tàng vì các cuộc tấn công thường cải thiện theo thời gian khi có nhiều người thử nghiệm nó hơn. Bất cứ ai sử dụng Zimbra nên cài đặt bản vá ngay khi thực tế và đảm bảo rằng postjournal chỉ được bật khi cần thiết.