Експерти з кібербезпеки б’ють на сполох: нещодавно виявлена критична вразливість у популярній поштовій системі Zimbra вже активно експлуатується зловмисниками. Особливу небезпеку становить простота використання цієї уразливості – достатньо лише надіслати спеціально сформований електронний лист на SMTP-сервер жертви.
Анатомія вразливості CVE-2024-45519
Вразливість віддаленого виконання коду (RCE) у Zimbra, зареєстрована під ідентифікатором CVE-2024-45519, пов’язана з компонентом postjournal. Цей сервіс відповідає за обробку вхідних SMTP-повідомлень. Зловмисники можуть експлуатувати цю ваду, надсилаючи листи з шкідливими командами у полі CC. Ці команди виконуються на сервері, як тільки postjournal обробляє повідомлення.
Масштаби загрози та перші атаки
Про активну експлуатацію CVE-2024-45519 першим повідомив Іван Квятковські з HarfangLab, охарактеризувавши ситуацію як “масову експлуатацію”. Експерти Proofpoint підтвердили ці дані, виявивши атаки вже 28 вересня 2024 року – лише через день після публікації детального аналізу вразливості та PoC-експлойта дослідниками Project Discovery.
Механізм атаки та встановлення веб-шелла
Зловмисники розсилають фішингові листи, що імітують повідомлення Gmail. Ці листи містять закодовані в base64 команди у полі CC, які виконуються на сервері Zimbra. Основна мета – створення та розміщення веб-шелла, який надає атакуючим повний контроль над скомпрометованим сервером.
Технічні деталі експлойта
Дослідники з ProjectDiscovery провели реверс-інжиніринг патча Zimbra і виявили, що вразлива функція popen була замінена на execvp з механізмом очистки вхідних даних. Однак виявилося, що можна надсилати SMTP-команди службі postjournal на порт 10027, що призводить до виконання довільних команд.
Рекомендації щодо захисту
Фахівці з інформаційної безпеки наполегливо рекомендують системним адміністраторам:
- Негайно встановити останні патчі для Zimbra (версії 9.0.0 Patch 41+, 10.0.9, 10.1.1 або 8.8.15 Patch 46+)
- Відключити postjournal, якщо він не є критично необхідним
- Перевірити та скорегувати налаштування mynetworks для запобігання несанкціонованому доступу
Ця критична вразливість Zimbra демонструє, наскільки швидко кіберзлочинці можуть адаптувати свої методи атак до нових вразливостей. Організаціям, що використовують Zimbra, необхідно діяти оперативно, щоб захистити свої системи та дані користувачів. Регулярний моніторинг, своєчасне оновлення програмного забезпечення та дотримання принципів безпечної конфігурації – ключові елементи ефективної стратегії кібербезпеки в сучасному цифровому ландшафті.
