Los atacantes están apuntando activamente a una grave vulnerabilidad de ejecución remota de código que Zimbra reveló recientemente en su servidor SMTP, lo que aumenta la urgencia de que las organizaciones afectadas parcheen de inmediato las instancias vulnerables.
El error, identificado como CVE-2024-45519está presente en el componente del servicio de publicaciones de Zimbra para el registro y archivo de correo electrónico. Permite que un atacante remoto no autenticado ejecute comandos arbitrarios en un sistema vulnerable y tome el control del mismo. Zimbra ha lanzado actualizaciones para las versiones afectadas la semana pasada, pero hasta ahora no ha publicado ningún detalle sobre la falla.
Los ataques comenzaron el 28 de septiembre.
Los investigadores de Proofpoint informaron esta semana que observaron ataques dirigidos a la falla que comenzaron el 28 de septiembre y continuaron sin cesar. en un serie de publicaciones sobreEl proveedor de seguridad describió que los atacantes enviaron correos electrónicos falsos que parecen provenir de Gmail a servidores Zimbra vulnerables. Los correos electrónicos contienen código malicioso codificado en base64 en el campo CC en lugar de direcciones de correo electrónico normales. Este código está diseñado para engañar a Zimbra para que lo ejecute como comandos de shell, en lugar de tratarlo como una dirección de correo electrónico normal. Esta técnica podría permitir a los atacantes ejecutar comandos no autorizados en los servidores Zimbra afectados, dijo Proofpoint.
“Algunos correos electrónicos del mismo remitente utilizaron una serie de direcciones CC para intentar crear un shell web en un servidor Zimbra vulnerable”, dijo Proofpoint. “La lista CC completa está empaquetada como una cadena y, si los blobs base64 se concatenan, se decodifican en un comando para escribir un shell web”.
El web shell permite al atacante acceder de forma remota al servidor a través de solicitudes HTTP especialmente diseñadas y modificar archivos, acceder a datos confidenciales y ejecutar otros comandos arbitrarios. Los atacantes pueden usarlo para descargar y ejecutar código malicioso en un sistema vulnerable, dijo Proofpoint. “Una vez instalado, el webshell escucha las conexiones entrantes con un campo de cookie JSESSIONID predeterminado”, señaló el proveedor. “Si está presente, el webshell analizará la cookie JACTION para comandos base64. El webshell admite la ejecución de comandos a través de exec o descargará y ejecutará un archivo a través de una conexión de socket”.
Parche de ayer
Ivan Kwiatkowski, investigador de amenazas de HarfangLab, dijo que los correos electrónicos maliciosos procedían de 79.124.49.[.]86, que parece tener su sede en Bulgaria. “Si usas @ZimbraHa comenzado la explotación masiva de CVE-2024-45519. Parche ayer”.
En particular, el actor de la amenaza utiliza el mismo servidor para enviar los correos electrónicos de explotación y alojar la carga útil de la segunda etapa, lo que sugiere una operación relativamente inmadura, dice Greg Lesnewich, investigador de amenazas de Proofpoint. “Esto habla del hecho de que el actor no tiene un conjunto distribuido de infraestructura para enviar correos electrónicos de explotación y gestionar infecciones después de una explotación exitosa”, dice Lesnewich. “Esperaríamos que el servidor de correo y los servidores de carga útil fueran entidades diferentes en una operación más madura”.
Lesnewich dice que el volumen de ataques se ha mantenido más o menos igual desde que comenzaron la semana pasada y parece ser de naturaleza más oportunista que dirigida.
Error de limpieza de entradar
Los investigadores del proyecto de código abierto Discovery publicaron una prueba de concepto de la vulnerabilidad el 27 de septiembre. identificó el problema como resultado de una falla en desinfectar adecuadamente la entrada del usuario, lo que permite a los atacantes inyectar comandos arbitrarios. Las versiones parcheadas del software de Zimbra solucionaron el problema y neutralizaron la posibilidad de inyección directa de comandos, escribieron los investigadores. Aún así, “es crucial que los administradores apliquen rápidamente los últimos parches”, señalaron. “Además, es esencial comprender y configurar correctamente mynetworks, ya que los errores de configuración podrían exponer el servicio a una explotación externa”.
Miles de empresas y millones de usuarios utilizan Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y vídeo. Su popularidad ha convertido a esta tecnología en un objetivo importante para los atacantes. El año pasado, por ejemplo, los investigadores descubrieron hasta cuatro actores chinos de amenazas persistentes avanzadas aprovechando un Zimbra Zero Day (CVE-2023-37580) para apuntar a agencias gubernamentales de todo el mundo. Zimbra solucionó la falla en julio de 2023, un mes después de que comenzaran los ataques. En febrero pasado, investigadores de W Labs detectaron el prolífico grupo Lazarus en Corea del Norte. intento de robar información de organizaciones en los sectores de salud y energía a través de servidores Zimbra específicos y sin parches.