Эксперты по кибербезопасности бьют тревогу: недавно обнаруженная уязвимость удаленного выполнения кода (RCE) в популярном почтовом сервере Zimbra активно эксплуатируется хакерами. Уязвимость, получившая идентификатор CVE-2024-45519, позволяет злоумышленникам выполнять произвольный код на целевых серверах путем отправки специально сформированных электронных писем.
Анатомия уязвимости CVE-2024-45519
Уязвимость затрагивает службу Zimbra postjournal, отвечающую за обработку входящих SMTP-сообщений. Злоумышленники могут использовать этот недостаток, отправляя письма с вредоносными командами в поле CC. Как только postjournal обрабатывает такое письмо, команды выполняются на сервере с привилегиями системного пользователя.
Массовая эксплуатация в действии
Специалист HarfangLab Иван Квятковски первым сообщил о массовой эксплуатации CVE-2024-45519, что вскоре подтвердили эксперты Proofpoint. Атаки были зафиксированы 28 сентября 2024 года, всего через день после публикации подробного анализа уязвимости и PoC-эксплоита исследователями Project Discovery.
Тактика атакующих
Злоумышленники рассылают вредоносные письма, маскируясь под Gmail. Эти сообщения содержат:
- Поддельные адреса электронной почты
- Вредоносный код в поле CC
- Команды в формате base64 для создания веб-шелла на сервере Zimbra
Установленный веб-шелл предоставляет атакующим полный контроль над скомпрометированным сервером, позволяя похищать данные и проникать глубже в сеть организации-жертвы.
Технические детали эксплуатации
Исследователи ProjectDiscovery провели реверс-инжиниринг патча Zimbra и обнаружили, что уязвимая функция popen была заменена на более безопасную execvp. Однако они также выявили возможность отправки SMTP-команд напрямую службе postjournal на порт 10027, что приводит к выполнению произвольных команд.
Рекомендации по защите
Для минимизации рисков эксперты рекомендуют администраторам Zimbra:
- Незамедлительно установить последние обновления безопасности. Уязвимость устранена в версиях 9.0.0 Patch 41+, 10.0.9, 10.1.1 и 8.8.15 Patch 46+.
- Отключить службу postjournal, если она не критична для работы.
- Проверить и скорректировать настройки mynetworks для предотвращения несанкционированного доступа.
- Внедрить многоуровневую защиту, включая файерволы, системы обнаружения вторжений и регулярное сканирование на уязвимости.
Уязвимость CVE-2024-45519 в Zimbra демонстрирует критическую важность своевременного обновления программного обеспечения и применения комплексного подхода к кибербезопасности. Организациям, использующим Zimbra, настоятельно рекомендуется принять незамедлительные меры по защите своих систем и данных от потенциальных атак. Постоянная бдительность и проактивный подход к безопасности остаются ключевыми факторами в противодействии постоянно эволюционирующим киберугрозам.
