Новости

Как хакеры используют уязвимость в Zimbra для компрометации серверов

Исследователи предупреждают о высокой активности хакеров, которые уже начали использовать недавно обнаруженную уязвимость RCE в Zimbra. Проблема усугубляется тем, что злоумышленники могут эксплуатировать её, просто отправляя на SMTP-сервер специально подготовленные письма.
Уязвимость, известная как CVE-2024-45519, затрагивает службу Zimbra postjournal, обрабатывающую входящие через SMTP письма. Злоумышленники могут внедрить вредоносный код в поле CC письма, который будет выполнен после обработки сообщения службой postjournal.
По данным бюллетеня безопасности Zimbra, уязвимость уже устранена в версиях 9.0.0 Patch 41 и более поздних, а также в версиях 10.0.9 и 10.1.1 и Zimbra 8.8.15 Patch 46 и более поздних.
Впервые о вредоносной активности, связанной с CVE-2024-45519, сообщил специалист HarfangLab Иван Квятковски, который охарактеризовал её как «массовую эксплуатацию». Эксперты из компании Proofpoint подтвердили эти данные.
Аналитики Proofpoint обнаружили атаки 28 сентября 2024 года, через день после публикации подробного анализа уязвимости и PoC-эксплоита для неё в открытом доступе специалистами из Project Discovery.
Исследователи предупреждают, что злоумышленники рассылают вредоносные письма от имени Gmail, содержащие поддельные адреса и вредоносный код в поле CC. Если письмо сформировано правильно, почтовый сервер Zimbra выполняет команды из поля CC на сервере.
Письма содержат строки в base-64, которые выполняются с помощью curl для создания и размещения веб-шелла на сервере Zimbra. После установки веб-шелл прослушивает входящие соединения с определённым cookie-полем JSESSIONID. Если нужный cookie найден, веб-шелл парсит другой cookie (JACTION), содержащий закодированные команды для выполнения. Веб-шелл также поддерживает загрузку и выполнение файлов на скомпрометированном сервере.
После установки веб-шелл предоставляет полный доступ к взломанному серверу Zimbra своим операторам, что может использоваться для кражи данных и продвижения во внутреннюю сеть компании-жертвы.
На прошлой неделе исследователи ProjectDiscovery опубликовали технический анализ CVE-2024-45519 и proof-of-concept эксплоит, который сейчас используют злоумышленники. PoC-эксплоит был опубликован в виде готового Python-скрипта на GitHub.
Для своей публикации исследователи провели реверс-инжиниринг патча Zimbra и обнаружили, что функция popen, получающая пользовательский input, была заменена новой функцией execvp с механизмом очистки входных данных. В результате исследователи обнаружили, что можно отправлять SMTP-команды службе postjournal на порт 10027, что ведёт к выполнению произвольных команд.
В связи с этим ИБ-эксперты рекомендуют системным администраторам не только установить патчи, но и отключить postjournal, если он не требуется, а также убедиться в корректной настройке mynetworks для предотвращения несанкционированного доступа.
Уязвимости