Les pirates exploitent activement une vulnérabilité RCE récemment divulguée dans les serveurs de messagerie Zimbra qui peut être déclenchée simplement en envoyant des e-mails spécialement conçus au serveur SMTP.
La faille d’exécution de code à distance Zimbra est suivie sous le numéro CVE-2024-45519 et existe dans le service post journal de Zimbra, qui est utilisé pour analyser les e-mails entrants via SMTP. Les attaquants peuvent exploiter la vulnérabilité en envoyant des e-mails spécialement conçus avec des commandes à exécuter dans le champ CC, qui sont ensuite exécutées lorsque le service postjournal traite l’e-mail.
L’activité malveillante a été signalée pour la première fois par Ivan Kwiatkowski, chercheur en menaces chez HarfangLab, qui l’a qualifiée d ‘ « exploitation de masse », et a ensuite été confirmée par des experts de Proofpoint.
Proofpoint dit qu’ils ont détecté l’activité malveillante le 28 septembre, un jour après que les chercheurs de Project Discovery ont publié un exploit de validation de principe.
Les chercheurs avertissent que les attaquants envoient des courriels qui usurpent Gmail et contiennent de fausses adresses électroniques et du code malveillant dans le champ « CC » de l’e-mail. S’il est créé correctement, le serveur de messagerie Zimbra analysera les commandes dans le champ CC et les exécutera sur le serveur.
Plus précisément, les e-mails contiennent des chaînes codées en base64 qui sont exécutées via le shell ‘sh’ pour créer et déposer un webshell sur le serveur Zimbra.
Une fois le webshell installé, il écoute les connexions entrantes contenant un champ de cookie JSESSIONID spécifique. Si le cookie correct est détecté, le webshell analyse un autre cookie (ACTION) qui contient des commandes codées en base64 à exécuter. Le webshell prend également en charge le téléchargement et l’exécution de fichiers sur le serveur compromis.
Une fois installé, le webshell offre un accès complet au compromis Zimbra serveur pour le vol de données ou à la propagation dans le réseau interne.
Exploits et correctifs
ProjectDiscovery les chercheurs ont publié une technique d’écriture-up la semaine dernière sur les CVE-2024-45519, y compris une preuve de concept (PoC) exploiter qui correspond à ce qui est observé dans la nature maintenant.
Les chercheurs de la rétro-ingénierie Zimbra patch de trouver que le « popen la fonction qui reçoit une entrée d’utilisateur, a été remplacé par une nouvelle fonction nommée « execvp », qui dispose d’une entrée d’assainissement mécanisme.
En reculant, ils ont découvert qu’il était possible d’envoyer des commandes SMTP au service postjournal de Zimbra sur le port 10027, ce qui entraînait une exécution arbitraire des commandes. L’exploit fonctionnel a également été publié sous forme de script Python « prêt à l’emploi » sur GitHub.
Outre l’application des mises à jour de sécurité disponibles, les chercheurs ont également proposé que les administrateurs système désactivent « postjournal » s’il n’est pas requis pour leurs opérations et s’assurent que « mynetworks » est correctement configuré pour empêcher tout accès non autorisé.
Selon le bulletin de sécurité de Zimbra, CVE-2024-45519 a été résolu dans la version 9.0.0 Patch 41 ou ultérieure, les versions 10.0.9 et 10.1.1 et Zimbra 8.8.15 Patch 46 ou ultérieure.
Compte tenu du statut d’exploitation active de la vulnérabilité, il est fortement recommandé aux utilisateurs concernés de passer aux nouvelles versions dès que possible ou au moins d’appliquer les mesures d’atténuation énumérées ci-dessus.