Οι ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για ενεργές προσπάθειες εκμετάλλευσης που αναφέρθηκε στο Zimbra Collaboration της Synacor.

Η εταιρεία κυβερνοασφάλειας Proofpoint παρατηρεί αυτή τη δραστηριότητα από τις 28 Σεπτεμβρίου 2024. Οι επιθέσεις επικεντρώνονται στην εκμετάλλευση του CVE-2024-45519, μιας κρίσιμης ευπάθειας στην υπηρεσία postjournal του Zimbra, η οποία μπορεί να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να εκτελέσουν αυθαίρετες εντολές σε επηρεαζόμενες εγκαταστάσεις.

Τα ψεύτικα emails που προσποιούνταν ότι προέρχονται από το Gmail στάλθηκαν σε πλασματικές διευθύνσεις στα πεδία CC, με στόχο οι διακομιστές Zimbra να τα αναλύσουν και να τα εκτελέσουν ως εντολές. Οι διευθύνσεις περιλάμβαναν Base64 συμβολοσειρές, οι οποίες εκτελούνταν με τη χρήση του εργαλείου sh. Το πρόβλημα αυτό επιλύθηκε από το Zimbra σε εκδόσεις 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 και 10.1.1, οι οποίες κυκλοφόρησαν στις 4 Σεπτεμβρίου 2024. Ο ερευνητής ασφαλείας Alan Li έχει αναγνωριστεί για την ανακάλυψη και την αναφορά αυτής της ευπάθειας.

Παρά το γεγονός ότι η δυνατότητα postjournal μπορεί να είναι προαιρετική ή ακόμη και ανενεργή σε πολλά συστήματα, είναι κρίσιμο να εφαρμοστεί το παρεχόμενο patch για την αποφυγή πιθανών εκμεταλλεύσεων. Η Proofpoint ανέφερε ότι εντόπισε μια σειρά διευθύνσεων CC που, όταν αποκωδικοποιηθούν, προσπαθούν να εγκαταστήσουν έναν web shell σε ευάλωτους διακομιστές Zimbra.

Αν και οι επιθέσεις δεν έχουν αποδοθεί σε κάποιον γνωστό απειλητικό παράγοντα, η δραστηριότητα εκμετάλλευσης φαίνεται να έχει ξεκινήσει την ημέρα μετά την αποκάλυψη τεχνικών λεπτομερειών για την αδυναμία. Συνιστάται στους χρήστες να εφαρμόσουν τις τελευταίες ενημερώσεις για τη μέγιστη προστασία από ενδεχόμενες απειλές.