Les attaquants exploitent activement CVE-2024-45519, une vulnérabilité critique de Zimbra qui leur permet d’exécuter des commandes arbitraires sur des installations vulnérables.
Les chercheurs en menaces de Proofpoint affirment que les attaques ont commencé le 28 septembre – plusieurs semaines après que les développeurs de Zimbra ont publié des correctifs pour CVE-2024-45519 et d’autres failles, et un jour après que les analystes de ProjectDiscovery ont publié un rapport technique détaillé sur la vulnérabilité et un exploit PoC pour démontrer le potentiel d’exploitation locale. D’autres chercheurs ont publié des PoC sur GitHub peu de temps après.
À propos de CVE-2024-45519
Zimbra Collaboration (par Synacor) est un logiciel de collaboration et une plateforme de messagerie hébergés dans le cloud largement utilisés, avec un serveur de messagerie et un composant client Web (pour le partage de documents, le chat et la vidéoconférence).
CVE-2024-45519 est une vulnérabilité d’injection de commandes du système d’exploitation dans le service postjournal (et binaire) de la solution, qui est utilisée pour enregistrer les communications par courrier électronique à des fins de conformité et/ou d’archivage. L’exploitation de la faille est possible sans authentification.
“La vulnérabilité provient du fait que des entrées d’utilisateurs non nettoyées ont été transmises à ouvrir [function] dans la version non patchée [of the postjournal binary]permettant aux attaquants d’injecter des commandes arbitraires », ont expliqué les analystes de ProjectDiscovery.
“Alors que la version corrigée introduit la désinfection des entrées et remplace popen par vice-président exécutifatténuant l’injection directe de commandes, il est crucial pour les administrateurs d’appliquer rapidement les derniers correctifs. De plus, comprendre et configurer correctement le mes réseaux Le paramètre est essentiel, car des erreurs de configuration pourraient exposer le service à une exploitation externe.
“Bien que la fonctionnalité postjournal puisse être facultative ou non activée sur la plupart des systèmes, il est toujours nécessaire d’appliquer le correctif fourni pour empêcher une exploitation potentielle”, a confirmé un architecte et ingénieur en sécurité de Synacor lorsque des correctifs pour plusieurs versions de Zimbra ont été fournis début septembre.
“Pour les systèmes Zimbra où la fonctionnalité postjournal n’est pas activée et où le correctif ne peut pas être appliqué immédiatement, la suppression du binaire postjournal pourrait être considérée comme une mesure temporaire jusqu’à ce que le correctif puisse être appliqué.”
Zimbra : une cible populaire
Selon Proofpoint, en envoyant des e-mails spécialement conçus, les attaquants tentent d’installer un webshell qui leur permettrait d’exécuter des commandes ou de télécharger et d’exécuter des fichiers via une connexion socket.
«Pour des raisons inconnues, l’acteur malveillant utilise le même serveur pour envoyer les e-mails d’exploitation et héberger les charges utiles de deuxième étape. L’activité n’est pas attribuée pour le moment », ont-ils ajouté.
Les vulnérabilités Zero Day et N Day de Zimbra sont souvent exploitées par des attaquants, généralement par des groupes de pirates informatiques parrainés par l’État (puisque Zimbra est utilisé par des agences gouvernementales ainsi que par des entreprises), mais également par des gangs de ransomwares (par exemple, MalasLocker).
Il est conseillé aux organisations qui n’ont pas implémenté le dernier correctif de le faire immédiatement.
