ช่องโหว่ Zimbra RCE เสี่ยงถูกโจมตีอย่างหนัก ผู้ใช้งานต้องอัปเดตทันที

348/67 (IT) ประจำวันพฤหัสบดีที่ 3 ตุลาคม 2567

ช่องโหว่การโจมตีด้วยการรันโค้ดระยะไกล (Remote Code Execution: RCE) บนเซิร์ฟเวอร์ Zimbra ได้ถูกเปิดเผยเมื่อเร็ว ๆ นี้ โดยช่องโหว่นี้คือ CVE-2024-45519 ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งตามอำเภอใจและเข้าควบคุมระบบที่มีช่องโหว่ได้ทันที โดยบริษัท Zimbra ได้ออกการอัปเดตเพื่อแก้ไขปัญหานี้แล้ว แต่ยังไม่เปิดเผยรายละเอียดเชิงลึกเกี่ยวกับข้อบกพร่องดังกล่าว นักวิจัยจาก Proofpoint พบการโจมตีที่พุ่งเป้าไปยังช่องโหว่นี้ตั้งแต่วันที่ 28 กันยายน โดยผู้โจมตีได้ส่งอีเมลปลอมจาก Gmail พร้อมโค้ดอันตรายที่เข้ารหัสด้วย base64 ผ่านฟิลด์ CC เพื่อรันคำสั่งเชลล์บนเซิร์ฟเวอร์ที่มีช่องโหว่ ส่งผลให้ผู้โจมตีสามารถติดตั้งเว็บเชลล์ ซึ่งทำให้สามารถเข้าถึงและควบคุมเซิร์ฟเวอร์จากระยะไกล และนักวิจัยจาก HarfangLab ระบุว่าแหล่งที่มาของอีเมลอันตรายดังกล่าวมาจากเซิร์ฟเวอร์ในบัลแกเรีย พร้อมทั้งย้ำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็วที่สุดเพื่อป้องกันการถูกโจมตี ซึ่ง Proofpoint รายงานว่าปริมาณการโจมตีไม่ลดลงตั้งแต่เริ่มการโจมตี และดูเหมือนจะเป็นการโจมตีแบบฉวยโอกาส โดยไม่ได้มุ่งเป้าไปที่หน่วยงานใดหน่วยงานหนึ่งอย่างเฉพาะเจาะจง นักวิจัยยังเตือนว่า การแก้ไขช่องโหว่นี้มีความสำคัญอย่างยิ่ง เนื่องจาก Zimbra เป็นระบบที่ใช้กันอย่างแพร่หลายทั้งในภาคองค์กรและหน่วยงานรัฐบาลทั่วโลก ซึ่งเป็นเป้าหมายหลักของผู้โจมตีในการขโมยข้อมูลสำคัญ

แหล่งข่าว https://www.darkreading.com/cyberattacks-data-breaches/recent-zimbra-rce-under-attack-patch-now