Vulnerabilidade Crítica no Servidor SMTP do Zimbra

A vulnerabilidade de execução remota de código, recentemente divulgada pela Zimbra em seu servidor SMTP, está sendo ativamente explorada por atacantes. Isso ressalta a urgência para que as organizações afetadas realizem a correção imediata das instâncias vulneráveis.

O bug, identificado como CVE-2024-45519, está presente no componente postjournal do Zimbra, que é utilizado para gerenciamento de e-mails e arquivamento. Essa falha permite que um atacante remoto e não autenticado execute comandos arbitrários em um sistema vulnerável e obtenha controle sobre ele. A Zimbra emitiu atualizações para as versões afetadas na semana passada, mas não divulgou detalhes sobre a vulnerabilidade até o momento.

Ataques Iniciados em 28 de Setembro

Pesquisadores da Proofpoint relataram que os ataques direcionados à vulnerabilidade começaram em 28 de setembro e continuam sem interrupções. Em uma série de postagens no X, a empresa de segurança descreveu os atacantes como remetendo e-mails falsificados que aparentam ser enviados do Gmail para servidores vulneráveis do Zimbra. Os e-mails contêm código malicioso codificado em base64 no campo CC, em vez de endereços de e-mail normais. Esse código é elaborado para enganar o Zimbra, fazendo-o executar como comandos de shell, ao invés de tratá-lo como um endereço de e-mail comum.

“Alguns e-mails do mesmo remetente usaram uma série de endereços CC tentando construir um Web shell em um servidor vulnerável do Zimbra”, afirmou a Proofpoint. “A lista completa de CC é embrulhada como uma string, e se os blobs em base64 forem concatenados, eles decodificam para um comando que cria um Web shell.”

O Web shell permite que o atacante acesse remotamente o servidor através de requisições HTTP especialmente elaboradas, além de modificar arquivos, acessar dados sensíveis e executar outros comandos arbitrários. “Uma vez instalado, o webshell escuta por conexão de entrada com um campo de cookie JSESSIONID pré-determinado”, notou o fornecedor. “Se presente, o webshell irá então analisar o cookie JACTION em busca de comandos em base64.”

Correção Imediata Necessária

Ivan Kwiatkowski, um pesquisador de ameaças da HarfangLab, destacou que os e-mails maliciosos estão vindo do IP 79.124.49[.]86, que parece estar baseado na Bulgária. “Se você está usando @Zimbra, a exploração em massa da CVE-2024-45519 já começou. Corrija ontem mesmo.”

Notavelmente, o ator de ameaças está utilizando o mesmo servidor tanto para enviar os e-mails de exploit quanto para hospedar o payload de segunda etapa, o que sugere uma operação relativamente imatura, segundo Greg Lesnewich, pesquisador da Proofpoint. “Isso indica que o ator não possui uma infraestrutura distribuída para enviar e-mails de exploit e lidar com infecções após a exploração bem-sucedida”, afirma Lesnewich. “Esperaríamos que os servidores de e-mail e de payload fossem entidades diferentes em uma operação mais madura.”

Lesnewich afirmou ainda que o volume de ataques permaneceu aproximadamente o mesmo desde o início da exploração, e que eles parecem ser mais oportunistas do que direcionados.

Erro de Sanitização de Entrada

Pesquisadores do projeto de código aberto Project Discovery liberaram uma prova de conceito para a vulnerabilidade em 27 de setembro. Eles identificaram o problema como decorrente de uma falha na sanitização adequada da entrada do usuário, permitindo, assim, que atacantes injetem comandos arbitrários. As versões corrigidas do software Zimbra abordaram o problema e neutralizaram a capacidade de injeção direta de comandos. No entanto, “é crucial que os administradores apliquem os patches mais recentes prontamente”, observaram os pesquisadores.

Além disso, entender e configurar corretamente o parâmetro mynetworks é essencial, pois configurações inadequadas podem expor o serviço a explorações externas.

Milhares de empresas e milhões de usuários utilizam o Zimbra Collaboration Suite para serviços de e-mail, calendário, chat e vídeo. Sua popularidade o torna um grande alvo para atacantes. No ano passado, por exemplo, pesquisadores descobriram até quatro atores de ameaças persistentes avançadas da China aproveitando uma falha zero-day do Zimbra (CVE-2023-37580) para atacar agências governamentais em todo o mundo. A Zimbra corrigiu a falha em julho de 2023, um mês após o início dos ataques. Em fevereiro passado, pesquisadores do W Labs detectaram o prolífico Lazarus Group da Coreia do Norte tentando roubar inteligência de organizações nos setores de saúde e energia, utilizando servidores Zimbra desatualizados como alvo.

#CVE202445519 #Zimbra #SegurançaCibernética #Vulnerabilidades #AtaquesCibernéticos

2024-10-01T21:41:35.000Z
Jai Vijayan, Contributing Writer
ref:https://www.darkreading.com/cyberattacks-data-breaches/recent-zimbra-rce-under-attack-patch-now