Zimbra e-posta sunucularındaki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı aktif saldırı altında ve kullanıcılardan derhal yama yapmaları isteniyor.
Zimbra zaten bilgisayar korsanları için popüler bir hedeftir – CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğu halihazırda 9 Zimbra güvenlik açığını listelemektedir ve Cyble sensörleri, daha önce bildirilen güvenlik açıklarına sahip 90.000’den fazla web’e açık Zimbra sunucusunu göstermektedir – bu nedenle en son güvenlik açığının (CVE-2024- 45519) zaten saldırganların gözüne giriyor. Şu ana kadar MITRE yeni güvenlik açığını CVSS 3.1 kapsamında 10.0 olarak derecelendirdi ancak NVD henüz değerlendirmede bulunmadı.
Zimbra günlük sonrası güvenlik açığı
CVE-2024-45519 henüz resmi olarak listelenmedi ancak araştırmacılar Zimbra’nın günlük sonrası SMTP ayrıştırma hizmetindeki güvenlik açığını kritik olarak etiketliyor.
ProjectDiscovery araştırmacıları tarafından bildirilen Kavram Kanıtı (PoC), güvenlik açığından özel hazırlanmış e-postalarla yararlanılabileceğini gösterdi ve istismarlar bundan bir gün sonra başladı.
Postjournal hizmeti varsayılan olarak etkin değil ancak bazı araştırmacılar güvenlik açığını yine de endişe verici buldu.
Güvenlik araştırmacısı Will Dormann, Zimbra kusurunu “utanç verici derecede kötü bir güvenlik açığı” olarak nitelendirdi.
Dormann, Mastodon’da şunları yazdı: “Güvenlik açığı bulunan kod, saldırgan tarafından sağlanan e-posta adresini bir komut satırına ekliyor ve ardından popen() (kabuk kullanan) ile çalıştırıyor.” “Tahmin edin e-posta adresinde geri işaret, noktalı virgül, $() vb. bulunursa ne olur? Bu hangi yıl?
“Neyse ki oraya ulaşmak için saldırı vektörü (günlük sonrası) varsayılan olarak etkin değil, çünkü doğada istismar girişimleri oluyor.”
Bu güvenlik açığından yararlanan kötü amaçlı e-postaların 79.124.49 adresinden geldiği belirlendi[.]86.
Zimbra günlük sonrası hizmetindeki güvenlik açığı, temizlenmemiş kullanıcı girişinin açıkSaldırganların rastgele komutlar eklemesine olanak tanır. Yamalı sürümler giriş temizliği ekler ve değiştirir açık ile execvp doğrudan komut enjeksiyonu güvenlik açığını azaltmak için. Zimbra yöneticileri aynı zamanda yapılandırmayı da kontrol etmelidir. ağlarım Harici istismarı önlemek için parametre.
Zimbra Güvenlik Açığı Ayrıntıları
ProjectDiscovery araştırmacıları dergi sonrası ikili dosyayı tersine çevirdiler ve herhangi bir çağrının olmadığını buldular. execvp veya run_command işlevi ve doğrudan çağrı açık onun yerine şuraya gittim: okuma_haritaları girdinin sterilize edilmeden iletilmesine izin veren işlev. cmd argümanı $() sözdizimi ile de atlanabilir ve bu da 10027 numaralı bağlantı noktası üzerinden istismara izin verir. SMTP 25 numaralı bağlantı noktası üzerindeki aynı istismar, bir Bash betiğiyle gerçekleştirilen günlük sonrası hizmetinin etkinleştirilmesini gerektiriyordu:
zmlocalconfig -e postjournal_enabled=true
zmcontrol yeniden başlat
Uzaktan istismarı mümkün kılmak için araştırmacılar, mynetworks’ün varsayılan yapılandırmasının genel IP adreslerinin /20 CIDR aralığını içerdiğini buldu. “Bu, günlük sonrası hizmet etkinse ve saldırgan izin verilen ağ aralığındaysa, istismarın uzaktan gerçekleştirilebileceği anlamına geliyor” diye yazdılar.
PoC yayınlandıktan kısa bir süre sonra Proofpoint araştırmacıları, Zimbra sunucularının bunları ayrıştırıp komut olarak yürütmesini sağlamak için CC alanlarındaki sahte adreslere sahte e-postalar gönderilerek güvenlik açığının kötüye kullanıldığını gözlemlediler. Adresler sh yardımcı programıyla yürütülen base64 dizelerini içeriyordu.
Bazı e-postalar, savunmasız bir Zimbra sunucusunda bir web kabuğu oluşturmak için CC adreslerini kullandı. Tam CC listesi bir dize olarak sarılmıştı ve eğer bağlanırsa, base64 blob’ları bir web kabuğu yazacak komutun kodunu çözer. /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.
Web kabuğu kurulduktan sonra gelen bağlantıları dinler ve bir soket bağlantısı üzerinden exec veya indirme yoluyla komut yürütülmesini destekler.
Zimbra yöneticilerine şunu yapmaları rica olunur:
- Gerekli değilse postjournal’ı devre dışı bırakın
- Yetkisiz erişimi önlemek için ağlarımı yapılandırma
- En son güvenlik güncellemelerini doğrudan Zimbra’dan uygulayın