黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

admin 2024年10月3日14:37:37评论18 views字数 1389阅读4分37秒阅读模式

导 

黑客正在积极利用 Zimbra 电子邮件服务器中最近披露的 RCE 漏洞,只需向 SMTP 服务器发送特制的电子邮件即可触发该漏洞。

黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

Zimbra 远程代码执行漏洞编号为 CVE-2024-45519,存在于 Zimbra 的 postjournal 服务中,该服务用于解析通过 SMTP 接收的电子邮件。攻击者可以通过发送特制的电子邮件来利用此漏洞,在 CC 字段中执行命令,然后在 postjournal 服务处理电子邮件时执行这些命令。

这一恶意活动最先由 HarfangLab 的威胁研究员 Ivan Kwiatkowski 报告,他将其定性为“大规模利用”,随后 Proofpoint 的专家也证实了这一行为的有效性。

黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

Proofpoint 表示,他们在 9 月 28 日检测到了恶意活动,也就是 Project Discovery 的研究人员发布概念验证代码的第二天。

研究人员警告称,攻击者发送的电子邮件会伪造 Gmail,并在电子邮件的“抄送”字段中包含虚假电子邮件地址和恶意代码。如果创建正确,Zimbra 电子邮件服务器将解析抄送字段中的命令并在服务器上执行它们。

具体来说,电子邮件包含 base-64 编码的字符串,这些字符串通过“sh”shell 执行,以在 Zimbra 服务器上构建和删除 webshell。

黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

安装 Webshell 后,它会监听包含特定 JSESSIONID cookie 字段的入站连接。如果检测到正确的 cookie,Webshell 会解析另一个包含要执行的 base64 编码命令的 cookie(JACTION)。Webshell 还支持在受感染的服务器上下载和执行文件。

一旦安装,webshell 就可以提供对受感染 Zimbra 服务器的完全访问权限,以窃取数据或进一步传播到内部网络。

补丁已发布

ProjectDiscovery 的研究人员上周发布了有关 CVE-2024-45519 的技术文章,其中包括与目前在野外发现的漏洞相匹配的概念验证 (PoC) 漏洞。

研究人员对 Zimbra 的补丁进行了逆向工程,发现接收用户输入的“popen”函数已被名为“execvp”的新函数取代,该函数具有输入清理机制。

通过逆向分析,他们发现可以通过端口 10027 向 Zimbra 的 postjournal 服务发送 SMTP 命令,从而导致任意命令执行。该漏洞利用代码还以“即用型”Python 脚本形式发布在 GitHub 上。

除了应用可用的安全更新外,研究人员还建议系统管理员在操作不需要“postjournal”时将其关闭,并确保“mynetworks”正确配置,以防止未经授权的访问。

根据Zimbra 的安全公告,CVE-2024-45519 已在 9.0.0 Patch 41 或更高版本、10.0.9 和 10.1.1 版本以及 Zimbra 8.8.15 Patch 46 或更高版本中得到解决。

鉴于该漏洞的活跃利用状态,强烈建议受影响的用户尽快迁移到新版本或至少应用上面列出的缓解措施。

链接:

https://www.bleepingcomputer.com/news/security/critical-zimbra-rce-flaw-exploited-to-backdoor-servers-using-emails/

黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月3日14:37:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件https://cn-sec.com/archives/3229905.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息