Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια RCE που αποκαλύφθηκε πρόσφατα στους διακομιστές email της Zimbra, η οποία μπορεί να ενεργοποιηθεί απλώς με την αποστολή ειδικά δημιουργημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου στον διακομιστή SMTP.
Το ελάττωμα εκτέλεσης απομακρυσμένου κώδικα Zimbra παρακολουθείται ως CVE-2024-45519 και υπάρχει στην υπηρεσία postjournal της Zimbra, η οποία χρησιμοποιείται για την ανάλυση των εισερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσω SMTP. Οι εισβολείς μπορούν να εκμεταλλευτούν την ευπάθεια στέλνοντας ειδικά δημιουργημένα email με εντολές για εκτέλεση στο πεδίο CC, οι οποίες στη συνέχεια εκτελούνται όταν η υπηρεσία postjournal επεξεργάζεται το email.
Η κακόβουλη δραστηριότητα αναφέρθηκε για πρώτη φορά από τον ερευνητή απειλών του HarfangLab, Ivan Kwiatkowski, ο οποίος τη χαρακτήρισε ως «μαζική εκμετάλλευση» και στη συνέχεια έγινε επίσης επίσης επιβεβαιώθηκε από ειδικούς στο Proofpoint.
Η Proofpoint λέει ότι εντόπισε την κακόβουλη δραστηριότητα στις 28 Σεπτεμβρίου, μία ημέρα αφότου οι ερευνητές του Project Discovery κυκλοφόρησαν ένα proof-of-concept exploit.
Οι ερευνητές προειδοποιούν ότι οι εισβολείς στέλνουν email που πλαστογραφούν το Gmail και περιέχουν πλαστές διευθύνσεις email και κακόβουλο κώδικα στο πεδίο “CC” του email. Εάν δημιουργηθεί σωστά, ο διακομιστής email Zimbra θα αναλύσει τις εντολές στο πεδίο CC και θα τις εκτελέσει στον διακομιστή.
Πηγή: Proofpoint
Συγκεκριμένα, τα email περιέχουν συμβολοσειρές με κωδικοποίηση βάσης 64 που εκτελούνται μέσω του κελύφους «sh» για τη δημιουργία και την απόθεση ενός κελύφους ιστού στον διακομιστή Zimbra.
Πηγή: Proofpoint
Μόλις εγκατασταθεί το webshell, ακούει για εισερχόμενες συνδέσεις που περιέχουν ένα συγκεκριμένο πεδίο cookie JSESSIONID. Εάν εντοπιστεί το σωστό cookie, το κέλυφος ιστού αναλύει ένα άλλο cookie (JACTION) που περιέχει εντολές με κωδικοποίηση base64 για εκτέλεση. Το webshell υποστηρίζει επίσης τη λήψη και την εκτέλεση αρχείων στον παραβιασμένο διακομιστή.
Πηγή: Proofpoint
Μόλις εγκατασταθεί, το webshell προσφέρει πλήρη πρόσβαση στον παραβιασμένο διακομιστή Zimbra για κλοπή δεδομένων ή για περαιτέρω εξάπλωση στο εσωτερικό δίκτυο.
Εκμεταλλεύσεις και μπαλώματα
Οι ερευνητές του ProjectDiscovery δημοσίευσαν α τεχνική εγγραφή την περασμένη εβδομάδα στο CVE-2024-45519, συμπεριλαμβανομένου ενός εκμεταλλεύματος απόδειξης της ιδέας (PoC) που ταιριάζει με αυτό που φαίνεται τώρα στη φύση.
Οι ερευνητές αναμόρφωσαν το έμπλαστρο του Zimbra για να ανακαλύψουν ότι η συνάρτηση «popen», η οποία λαμβάνει τα στοιχεία του χρήστη, έχει αντικατασταθεί με μια νέα συνάρτηση που ονομάζεται «execvp», η οποία διαθέτει μηχανισμό απολύμανσης εισόδου.
Προχωρώντας προς τα πίσω, ανακάλυψαν ότι είναι δυνατή η αποστολή εντολών SMTP στην υπηρεσία postjournal της Zimbra στη θύρα 10027, με αποτέλεσμα την αυθαίρετη εκτέλεση εντολών. Το work exploit δημοσιεύτηκε επίσης σε μορφή σεναρίου Python «έτοιμο προς χρήση». στο GitHub.
Εκτός από την εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας, οι ερευνητές πρότειναν επίσης στους διαχειριστές του συστήματος να απενεργοποιούν το “postjournal” εάν δεν απαιτείται για τις λειτουργίες τους και να διασφαλίζουν ότι το “mynetworks” έχει ρυθμιστεί σωστά για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
Σύμφωνα με Το δελτίο ασφαλείας της Zimbraτο CVE-2024-45519 έχει επιλυθεί στην έκδοση 9.0.0 Patch 41 ή νεότερη, εκδόσεις 10.0.9 και 10.1.1 και Zimbra 8.8.15 Patch 46 ή νεότερη.
Δεδομένης της κατάστασης ενεργούς εκμετάλλευσης της ευπάθειας, συνιστάται θερμά στους χρήστες που επηρεάζονται να μετακινηθούν στις νέες εκδόσεις το συντομότερο δυνατό ή τουλάχιστον να εφαρμόσουν τα μέτρα μετριασμού που αναφέρονται παραπάνω.
VIA: bleepingcomputer.com
