Los investigadores de ciberseguridad advierten sobre intentos de explotaci\u00f3n activa dirigidos a una falla de seguridad recientemente revelada en Zimbra Collaboration de Synacor.<\/p>\n
La empresa de seguridad empresarial Proofpoint dijo que comenz\u00f3 a observar la actividad a partir del 28 de septiembre de 2024. Los ataques buscan explotar CVE-2024-45519<\/a>una grave falla de seguridad en el servicio de publicaciones de Zimbra que podr\u00eda permitir a atacantes no autenticados ejecutar comandos arbitrarios en las instalaciones afectadas.<\/p>\n “Los correos electr\u00f3nicos que falsificaban Gmail se enviaron a direcciones falsas en los campos CC en un intento de que los servidores Zimbra los analizaran y ejecutaran como comandos”, Proofpoint dicho<\/a> en una serie de publicaciones sobre X. “Las direcciones conten\u00edan cadenas Base64 que se ejecutan con la utilidad sh”.<\/p>\n La cuesti\u00f3n cr\u00edtica fue abordada por Zimbra en versiones 8.8.15 Parche 46, 9.0.0 Parche 41, 10.0.9 y 10.1.1<\/a> publicado el 4 de septiembre de 2024. A un investigador de seguridad llamado lebr0nli (Alan Li) se le atribuye el m\u00e9rito de descubrir e informar la deficiencia.<\/p>\n “Si bien la funci\u00f3n postdiario puede ser opcional o no estar habilitada en la mayor\u00eda de los sistemas, a\u00fan es necesario aplicar el parche proporcionado para evitar una posible explotaci\u00f3n”, Ashish Kataria, ingeniero arquitecto de seguridad de Synacor, anotado<\/a> en un comentario el 19 de septiembre de 2024.<\/p>\n “Para los sistemas Zimbra donde la funci\u00f3n postdiario no est\u00e1 habilitada y el parche no se puede aplicar inmediatamente, eliminar el binario postdiario podr\u00eda considerarse como una medida temporal hasta que se pueda aplicar el parche”.<\/p>\n Proofpoint dijo que identific\u00f3 una serie de direcciones CC que, cuando se decodifican, intentan escribir un shell web en un servidor Zimbra vulnerable en la ubicaci\u00f3n: “\/jetty\/webapps\/zimbraAdmin\/public\/jsp\/zimbraConfig.jsp”.<\/p>\n Posteriormente, el shell web instalado escucha la conexi\u00f3n entrante con un campo de cookie JSESSIONID predeterminado y, si est\u00e1 presente, procede a analizar la cookie JACTION para los comandos Base64.<\/p>\n El web shell viene equipado con soporte para la ejecuci\u00f3n de comandos a trav\u00e9s de exec. Alternativamente, tambi\u00e9n puede descargar y ejecutar un archivo a trav\u00e9s de una conexi\u00f3n de socket. Los ataques no se han atribuido a ning\u00fan actor o grupo de amenazas conocido al momento de escribir este art\u00edculo.<\/p>\n Dicho esto, la actividad de explotaci\u00f3n parece haber comenzado un d\u00eda despu\u00e9s de que Project Discovery publicara detalles t\u00e9cnicos de la falla, que dicho<\/a> “proviene de la entrada no desinfectada del usuario que se pasa a popen<\/a> en la versi\u00f3n sin parches, lo que permite a los atacantes inyectar comandos arbitrarios”.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que el problema tiene su origen en la forma en que el binario postjournal basado en C maneja y analiza las direcciones de correo electr\u00f3nico de los destinatarios en una funci\u00f3n llamada “msg_handler()”, permitiendo as\u00ed la inyecci\u00f3n de comandos en el servicio que se ejecuta en el puerto 10027 al pasar un SMTP especialmente dise\u00f1ado. mensaje con una direcci\u00f3n falsa (por ejemplo, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).<\/p>\n A la luz de los intentos de explotaci\u00f3n activos, se recomienda encarecidamente a los usuarios que apliquen los parches m\u00e1s recientes para una protecci\u00f3n \u00f3ptima contra amenazas potenciales.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-investigadores-hacen-sonar-la-alarma-sobre-los-ataques-activos.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n