Vulnerabilitate critică RCE în Zimbra
Sursă: https://www.bleepingcomputer.com
O nouă vulnerabilitate de executare a codului de la distanță (RCE) a fost dezvăluită recent în cadrul serverelor de e-mail Zimbra, ce poate fi declanșată prin simpla trimitere de e-mail-uri malițioase către serverul SMTP.
Identificată ca CVE-2024-45519, vulnerabilitatea se regăsește în serviciul postjournal al Zimbra, care este utilizat pentru analizarea e-mail-urilor primite prin SMTP. Atacatorii pot exploata vulnerabilitatea prin trimiterea de e-mail-uri malițioase cu comenzi de executat în câmpul CC, care sunt apoi executate atunci când serviciul postjournal procesează e-mail-ul.
Specialiștii avertizează că atacatorii trimit e-mail-uri care falsifică Gmail și conțin adrese de e-mail false și coduri malițioase în câmpul CC al e-mail-ului. Dacă este creat corect, serverul de e-mail Zimbra va analiza comenzile din câmpul CC și le va executa pe server.
Mai exact, e-mail-urile conțin șiruri codificate în base-64 care sunt executate prin intermediul shell-ului sh pentru a dezvolta și a lansa un webshell pe serverul Zimbra.
Odată ce webshell-ul este instalat, acesta urmărește conexiunile de intrare care conțin un câmp cookie JSESSIONID specific. Dacă este detectat modulul cookie corect, webshell-ul analizează un alt modul cookie (JACTION) care conține comenzi codificate în base-64 pentru a fi executate. Webshell-ul permite, de asemenea, descărcarea și executarea de fișiere pe serverul compromis.
Specialiștii au realizat o analiză inversă a actualizării Zimbra pentru a descoperi că funcția popen, care preia datele de intrare a utilizatorului, a fost înlocuită cu o nouă funcție numită execvp, ce dispune de un mecanism de verificare a datelor de intrare.
Lucrând în mod retroactiv, au descoperit că este posibil să trimită comenzi SMTP către serviciul postjournal al Zimbra pe portul 10027, ceea ce duce la executarea de comenzi arbitrare. Exploatarea funcțională a fost, de asemenea, publicată în formă de script Python gata de utilizare pe GitHub.
În afară de aplicarea actualizărilor de securitate disponibile, de asemenea, se recomandă ca administratorii să dezactiveze serviciul postjournal dacă acesta nu este necesar pentru operațiunile lor și să se asigure că mynetworks este configurat corect pentru a preveni accesul neautorizat.
Conform buletinului de securitate al Zimbra, CVE-2024-45519 a fost remediat în versiunea 9.0.0 Patch 41 sau ulterior, în versiunile 10.0.9 și 10.1.1 și în Zimbra 8.8.15 Patch 46 sau ulterior.
Sursă: https://www.bleepingcomputer.com/news/security/critical-zimbra-rce-flaw-exploited-to-backdoor-servers-using-emails/
