spot_img
22.9 C
São Paulo
spot_img
HomeTop Global NewsAI"Nova falha do Zimbra pode devastar suas informações!"

“Nova falha do Zimbra pode devastar suas informações!”

Alegonthn
By Alegonthn

Exploração Ativa da Vulnerabilidade no Zimbra Collaboration

Pesquisadores em segurança cibernética estão alertando sobre tentativas de exploração ativa de uma nova falha de segurança divulgada no Zimbra Collaboration da Synacor. A empresa de segurança Proofpoint começou a observar essa atividade a partir de 28 de setembro de 2024, com os ataques visando explorar a vulnerabilidade CVE-2024-45519.

Descrição da Vulnerabilidade

A falha no serviço postjournal do Zimbra pode permitir que atacantes não autenticados executem comandos arbitrários nas instalações afetadas. Segundo a Proofpoint, e-mails falsificados como se fossem do Gmail foram enviados para endereços fictícios nos campos CC, na tentativa de que servidores Zimbra os analisassem e executassem como comandos.

“Os endereços continham strings em Base64 que são executadas com o utilitário sh.”

Correções e Recomendações

O problema crítico foi corrigido pela Zimbra nas versões 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 e 10.1.1, que foram lançadas em 4 de setembro de 2024. O pesquisador de segurança lebr0nli (Alan Li) é creditado pela descoberta e relatório da vulnerabilidade.

Ainda que a funcionalidade postjournal possa ser opcional ou não habilitada na maioria dos sistemas, é essencial aplicar o patch disponibilizado para prevenir possíveis explorações. Ashish Kataria, engenheiro arquiteto de segurança da Synacor, mencionou:

“Para sistemas Zimbra onde a funcionalidade postjournal não está habilitada e o patch não pode ser aplicado de imediato, a remoção do binário postjournal pode ser considerada uma medida temporária até que o patch possa ser aplicado.”

Vulnerabilidade do Zimbra Postjournal

Método de Ataque e Consequências

A Proofpoint identificou uma série de endereços CC que, ao serem decodificados, tentavam escrever um web shell em um servidor Zimbra vulnerável, localizado em /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp. O web shell instalado escuta conexões de entrada com um campo de cookie JSESSIONID pré-determinado e, se presente, procede a analisar o cookie JACTION para comandos Base64.

O web shell possui suporte para execução de comandos via exec e também pode baixar e executar um arquivo através de uma conexão socket. Até o momento, as atividades de exploração não foram atribuídas a um ator ou grupo de ameaças conhecidos.

Contexto da Exploração

As atividades de exploração surgiram um dia após o Projeto Discovery divulgar detalhes técnicos sobre a falha, destacando que a vulnerabilidade “decorre da entrada do usuário não sanitizada sendo passada para popen na versão não corrigida, permitindo que atacantes injetem comandos arbitrários.”

A companhia de cibersegurança detalhou que o problema reside na maneira como o binário postjournal em C lida e analisa os endereços de e-mail dos destinatários dentro de uma função chamada “msg_handler()”, permitindo assim a injeção de comandos no serviço que opera na porta 10027 com o envio de uma mensagem SMTP especialmente forjada.

Recomendações para Usuários

Em vista das tentativas de exploração ativa, recomenda-se fortemente que os usuários apliquem os patches mais recentes para proteção ideal contra ameaças potenciais.

#Cibersegurança #Vulnerabilidade #Zimbra #CVE202445519 #SegurançaInformática
The Hacker News
https://thehackernews.com/2024/10/researchers-sound-alarm-on-active.html

Previous article
“Revolução do Femtech: Perelel Adquire LOOM!”
Next article
“Revolução no Varejo: Startup Captura $7M com IA!”

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us