攻击者正在积极利用 CVE-2024-45519,这是一个严重的 Zimbra 漏洞,该漏洞允许他们在易受攻击的安装上执行任意命令。
Proofpoint 的威胁研究人员表示,攻击始于 9 月 28 日,几周前,Zimbra 开发人员发布了针对 CVE-2024-45519 和其他漏洞的补丁。
而 ProjectDiscovery 的分析师在发布有关该漏洞的详细技术报告和 PoC 漏洞利用以展示本地利用的潜力。
其他研究人员随后不久在 GitHub 上发布了 PoC。
关于 CVE-2024-45519
Zimbra Collaboration(由 Synacor 开发)是一种广泛使用的云托管协作软件和电子邮件平台,具有电子邮件服务器和 Web 客户端组件(用于文档共享、聊天和视频会议)。
CVE-2024-45519 是该解决方案的 postjournal 服务(和二进制文件)中的一个操作系统命令注入漏洞,该服务用于记录电子邮件通信,以实现合规性和/或存档。无需身份验证即可利用此漏洞。
该漏洞源于未修补版本(postjournal 二进制文件)中未经过清理的用户输入被传递给popen (函数),从而使攻击者能够注入任意命令。
虽然修补版本引入了输入清理并用execvp替换了 popen ,从而减轻了直接命令注入的风险,但管理员及时应用最新补丁至关重要。
此外,了解并正确配置mynetworks参数至关重要,因为配置错误可能会使服务暴露于外部攻击。
尽管在大多数系统上,postjournal 功能可能是可选的或者未启用的,但仍然需要应用提供的补丁来防止潜在的攻击。
Synacor 安全架构师和工程师在 9 月初为多个 Zimbra 版本提供补丁时证实了这一点。
对于未启用 postjournal 功能且无法立即应用补丁的 Zimbra 系统,可以考虑删除 postjournal 二进制文件作为一种临时措施,直到可以应用补丁为止。
Zimbra:一个受欢迎的目标
据 Proofpoint 称,通过发送特制的电子邮件,攻击者试图安装一个 Webshell,以便他们执行命令或通过套接字连接下载和执行文件。
由于未知原因,威胁行为者使用同一台服务器发送漏洞电子邮件并托管第二阶段有效载荷。目前尚不清楚该活动的来源。
Zimbra 零日漏洞和 n 日漏洞经常被攻击者利用,通常是由国家支持的黑客组织(因为 Zimbra 被政府机构和公司使用),但也有勒索软件团伙(例如MalasLocker)利用。
建议尚未实施最新补丁的组织立即实施。
