Cercetătorii în securitate cibernetică au descoperit atacuri active care exploatează o vulnerabilitate critică în Zimbra Collaboration. Vulnerabilitatea, identificată ca CVE-2024-45519, permite atacatorilor să execute comenzi arbitrare pe serverele afectate. Remediul a fost lansat la începutul lunii septembrie 2024, iar utilizatorii sunt îndemnați să aplice patch-urile cât mai curând posibil.
TL;DR
- Vulnerabilitate severă identificată în serviciul postjournal al Zimbra Collaboration
- Exploatarea permite atacatori să execute comenzi arbitrare
- Patch disponibil de la începutul lunii septembrie 2024
- Utilizatorii sunt sfătuiți să aplice actualizările imediat
Vulnerabilitatea din Zimbra Postjournal
Recent, cercetătorii de la firma de securitate cibernetică Proofpoint au început să monitorizeze atacuri active care vizează o vulnerabilitate recent dezvăluită în serviciul postjournal al Zimbra Collaboration. Această vulnerabilitate, identificată ca CVE-2024-45519, poate permite atacatorilor neautentificați să execute comenzi arbitrare pe instalările afectate.
Detalii tehnice și mod de exploatare
Atacurile implică trimiterea de emailuri false care par a fi de la Gmail către adrese inexistente în câmpurile CC, cu scopul de a face ca serverele Zimbra să le interpreteze și să le execute ca și comenzi. Aceste adrese conțin stringuri Base64 care sunt executate cu utilitarul sh. Cercetătorii au identificat adrese specifice care, odată decodate, încearcă să scrie un web shell pe un server Zimbra vulnerabil.
Acțiuni recomandate
Pentru protecția împotriva acestor atacuri, se recomandă aplicarea imediată a actualizărilor de securitate disponibile pentru Zimbra Collaboration. Dacă actualizarea nu poate fi aplicată imediat, se poate opta pentru eliminarea binarului postjournal ca măsură temporară până la aplicarea patch-ului. Este crucial ca utilizatorii să monitorizeze activitatea suspectă și să configureze în mod adecvat sistemele lor de securitate pentru a preveni exploatarea.
Concluzie
În lumina acestor atacuri active, utilizatorii de Zimbra sunt puternic încurajați să aplice ultimele actualizări de securitate pentru a se proteja împotriva potențialelor amenințări. Menținerea sistemelor actualizate și aplicarea măsurilor preventive poate reduce semnificativ riscul de exploatare.
Sursa articolului:
https://thehackernews.com/2024/10/researchers-sound-alarm-on-active.html