Дослідники попереджають, що хакери вже активно експлуатують нещодавно розкриту RCE-вразливість у Zimbra. Проблема ускладнюється тим, що вразливість можна використовувати за допомогою простого надсилання на SMTP-сервер спеціально підготовлених листів.

Проблема віддаленого виконання коду в Zimbra відстежується під ідентифікатором CVE-2024-45519 і пов’язана зі службою Zimbra postjournal, яка використовується для парсингу листів, що входять через SMTP. Зловмисники можуть використовувати цей баг, надсилаючи спеціально підготовлені листи з командами для виконання в полі CC, які в підсумку виконаються, щойно postjournal обробить лист.

Згідно з бюлетенем безпеки Zimbra, проблему CVE-2024-45519 вже усунуто у версії 9.0.0 Patch 41 або пізнішою, у версіях 10.0.9 і 10.1.1, а також у Zimbra 8.8.15 Patch 46 або пізнішою.

Про шкідливу активність, пов’язану з CVE-2024-45519, уперше повідомив фахівець HarfangLab Іван Квятковскі (Ivan Kwiatkowski), який охарактеризував те, що відбувається, як «масову експлуатацію», що незабаром підтвердили й експерти з компанії Proofpoint.

Дослідники попереджають, що зловмисники вже розсилають шкідливі листи, що імітують Gmail, містять підроблені адреси електронної пошти та шкідливий код у полі CC. Якщо такий лист сформовано правильно, то поштовий сервер Zimbra виконає команди з поля CC на сервері.

Зокрема, листи містять рядки в base-64, які виконуються за допомогою curl для створення і розміщення веб-шелу на сервері Zimbra.

Після встановлення цей веб-шелл слухає вхідні з’єднання, що містять певне cookie-поле JSESSIONID. Якщо потрібний cookie виявлено, веб-шелл парсить інший cookie (JACTION), що містить закодовані в base64 команди для виконання. Крім того, веб-шелл підтримує завантаження і виконання файлів на скомпрометованому сервері.

Також після встановлення веб-шелл надає повний доступ до зламаного сервера Zimbra своїм операторам, що може використовуватися для крадіжки даних і подальшого просування у внутрішню мережу організації-жертви.

Для своєї публікації дослідники провели реверс-інжиніринг патча Zimbra і виявили, що функція popen, яка отримує користувацький input, була замінена новою функцією execvp, яка має спеціальний механізм очищення вхідних даних. У підсумку дослідники виявили, що можна відправляти SMTP-команди службі Zimbra postjournal на порт 10027, що призводить до виконання довільних команд.

Тепер ІБ-експерти радять системним адміністраторам не тільки встановити патчі, а й вимкнути postjournal, якщо він не потрібен для роботи, і переконатися, що mynetworks налаштовано коректно для запобігання несанкціонованому доступу.