图片:ProjectDiscovery
美国网络安全和基础设施安全局 (CISA) 将Zimbra 电子邮件服务器中的一个严重漏洞 CVE-2024-45519添加到其已知利用漏洞 (KEV) 目录中。此远程代码执行 (RCE) 漏洞专门针对 Zimbra 的 postjournal 服务,已引起政府和关键基础设施部门的警惕,因为攻击者正在积极利用它。
CVE-2024-45519 是一个远程代码执行漏洞,影响 Zimbra 的 postjournal 服务,该服务在处理通过简单邮件传输协议 (SMTP) 传入的电子邮件方面起着至关重要的作用。该漏洞允许攻击者通过发送特制的电子邮件来利用该系统。具体来说,当 Zimbra 的 postjournal 服务处理邮件时,可以执行嵌入在电子邮件抄送字段中的恶意命令,从而导致在易受攻击的服务器上执行任意命令。
此漏洞的影响范围尤其令人担忧,因为它利用电子邮件结构中看似无害的部分(抄送字段)绕过了传统的安全措施。攻击者已经开始利用此漏洞,可能会给受影响的组织带来严重后果,例如数据泄露、系统入侵或未经授权的访问。
ProjectDiscovery 的安全研究人员上周发表了一篇技术文章,揭示了该漏洞的机制,并提供了对 Zimbra 发布的补丁的见解。研究人员对 Zimbra 的补丁进行了逆向工程,发现处理用户输入的易受攻击的 popen 函数已被更安全的函数 execvp 取代,该函数结合了输入清理机制来阻止恶意命令。
研究显示,攻击者可以直接向端口 10027 上的 postjournal 服务发送 SMTP 命令,如果未打补丁,则会触发任意命令执行。此外,研究人员还发布了一个概念验证 (PoC) 漏洞,该漏洞与目前在现实世界中观察到的攻击模式相符。
首次大规模利用的报告来自 HarfangLab 的著名威胁研究员 Ivan Kwiatkowski,他发现了针对 CVE-2024-45519 的广泛恶意活动。不久之后,Proofpoint 的安全专家证实了 Kwiatkowski 的发现,并在 ProjectDiscovery 发布 PoC 的第二天检测到了这次攻击。
截至 2024 年 9 月 28 日,Proofpoint 团队已观察到利用此漏洞的持续攻击,CISA 随后发出强烈警告。联邦缓解措施的最后期限已定为 2024 年 10 月 24 日,这为联邦机构和关键基础设施组织提供了一个紧迫的时间来应用补丁或停止使用 Zimbra 的日志服务。
Zimbra 已在多个版本中及时修复了此漏洞:
-
Zimbra 9.0.0 Patch 41 或更高版本
-
Zimbra 10.0.9 和 10.1.1
-
Zimbra 8.8.15 补丁 46 或更高版本
强烈建议系统管理员立即应用这些更新。除了修补之外,ProjectDiscovery 的研究人员还提出了另外两种缓解措施:
-
如果Postjournal 服务对于您组织的运营不重要,请禁用它。
-
确保“mynetworks”设置正确配置以阻止未经授权的访问电子邮件服务器。
鉴于 Zimbra 在全球企业和组织中的广泛使用,忽视实施这些防御措施的管理员可能会使其系统暴露于主动攻击。
https://blog.zimbra.com/2024/09/patch-release-multiple-security-issues-related-to-cross-site-scripting-xss-addressed-and-resolved/
原文始发于微信公众号(独眼情报):Zimbra 电子邮件服务器存在RCE,CVE-2024-45519
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论