Saldırganlar, zayıf kurulumlarda rastgele komutlar yürütmelerine olanak tanıyan kritik bir Zimbra güvenlik açığı olan CVE-2024-45519’u aktif olarak kullanıyor.
Proofpoint’in tehdit araştırmacıları, saldırıların 28 Eylül’de, Zimbra geliştiricilerinin CVE-2024-45519 ve diğer kusurlar için yamalar yayınlamasından birkaç hafta sonra ve ProjectDiscovery analistlerinin güvenlik açığı ve PoC istismarı hakkında ayrıntılı bir teknik yazı yayınlamasından bir gün sonra başladığını söylüyor. yerel sömürü potansiyelini göstermektedir. Diğer araştırmacılar da kısa süre sonra GitHub’da PoC’ler yayınladılar.
CVE-2024-45519 Hakkında
Zimbra Collaboration (Synacor tarafından), bir e-posta sunucusu ve bir web istemci bileşeni (belge paylaşımı, sohbet ve video konferans için) içeren, yaygın olarak kullanılan, bulutta barındırılan bir işbirliği yazılımı ve e-posta platformudur.
CVE-2024-45519, çözümün günlük sonrası hizmetinde (ve ikili) bulunan ve uyumluluk ve/veya arşivleme amacıyla e-posta iletişimlerini kaydetmek için kullanılan bir işletim sistemi komut ekleme güvenlik açığıdır. Kusurun istismarı kimlik doğrulama olmadan mümkündür.
“Güvenlik açığı, temizlenmemiş kullanıcı girişinin aktarılmasından kaynaklanıyor açık [function] yamasız sürümde [of the postjournal binary]ProjectDiscovery analistleri, “saldırganların keyfi komutlar vermesine olanak tanıyor” dedi.
“Yamalı sürüm giriş temizliğini tanıtıyor ve popen’i şununla değiştiriyor: execvpDoğrudan komut eklemeyi hafiflettiği için yöneticilerin en son yamaları hemen uygulaması çok önemlidir. Ayrıca, anlaşılması ve doğru şekilde yapılandırılması ağlarım Yanlış yapılandırmalar hizmeti harici istismara maruz bırakabileceğinden parametre önemlidir.”
Bir Synacor güvenlik mimarı ve mühendisi, Eylül ayı başlarında çeşitli Zimbra versiyonları için yamalar sağlandığında, “Günlük sonrası özelliği çoğu sistemde isteğe bağlı veya etkin olmasa da, olası istismarı önlemek için sağlanan yamayı uygulamak hala gerekli” dedi.
“Günlük sonrası özelliğinin etkinleştirilmediği ve yamanın hemen uygulanamadığı Zimbra sistemleri için, günlük sonrası ikili dosyasının kaldırılması, yama uygulanana kadar geçici bir önlem olarak düşünülebilir.”
Zimbra: Popüler bir hedef
Proofpoint’e göre saldırganlar, özel hazırlanmış e-postalar göndererek, bir soket bağlantısı üzerinden komutları yürütmelerine veya dosyaları indirip yürütmelerine olanak tanıyan bir web kabuğu yüklemeye çalışıyor.
“Bilinmeyen nedenlerden ötürü, tehdit aktörü, istismar e-postalarını göndermek ve ikinci aşama yüklerini barındırmak için aynı sunucuyu kullanıyor. Etkinlik şu anda ilişkilendirilemez” diye eklediler.
Zimbra’nın sıfır gün ve n gün güvenlik açıkları genellikle saldırganlar tarafından, genellikle devlet destekli hacker grupları tarafından (Zimbra, şirketlerin yanı sıra devlet kurumları tarafından da kullanıldığı için) ve aynı zamanda fidye yazılımı çeteleri (örneğin MalasLocker) tarafından istismar edilir.
En son yamayı uygulamayan kuruluşların bunu hemen yapmaları tavsiye edilir.