Er is een kritieke kwetsbaarheid aangetroffen in mailserversoftware Zimbra. Deze maakt remote code execution mogelijk door een speciaal gemaakte e-mail te sturen naar de SMTP-server. De bug wordt actief misbruikt, maar er is sinds eind september een patch beschikbaar.
De kwetsbaarheid in Zimbra wordt gevolgd onder CVSS-code CVE-2024-45519, hoewel de CVE-pagina daarvan op het moment van schrijven nog privé is. De bug zit in de postjournal-dienst van de software, die gebruikt wordt om inkomende e-mails te verwerken. Door de kwetsbaarheid kunnen hackers speciaal gemaakte e-mails sturen, die een Gmail-adres nabootsen en met daarin neppe adressen in de CC's.
In plaats van daadwerkelijke e-mailadressen, wordt code aan het CC-veld toegevoegd die vervolgens uitgevoerd wordt door Zimbra-servers. “Succesvolle uitbuiting kan leiden tot onbevoegde toegang, privilege escalation en mogelijke aantasting van de integriteit en vertrouwelijkheid van het getroffen systeem”, schrijven onderzoekers van Project Discovery, die ook een proof-of-concept van een exploit maakten.
De bug wordt sinds 28 september actief uitgebuit. Dat werd als eerste ontdekt door beveiligingsonderzoeker Ivan Kwiatkowski en later bevestigd door experts van Proofpoint. Hackers sturen een reeks code naar kwetsbare servers, in een poging om een webshell op te zetten. Vervolgens kan die gebruikt worden om op afstand commando's uit te voeren of bestanden naar de server te downloaden en uit te voeren, aldus Proofpoint.
Zimbra heeft inmiddels een patch uitgebracht, zo staat vermeld op de wiki van de e-mailsoftware. De kwetsbaarheid is verholpen in versies 9.0.0 Patch 41, 10.0.9, 10.1.1 en Zimba 8.8.15 Patch 46. Gebruikers wordt aangeraden om hun Zimbra-installaties zo snel mogelijk te updaten, aangezien de bug dus actief wordt geëxploiteerd.
If you're using @Zimbra, mass-exploitation of CVE-2024-45519 has begun. Patch yesterday.
— Ivan Kwiatkowski (@JusticeRage) 1 oktober 2024
Malicious emails are coming from 79.124.49[.]86 and attempting to curl a file from that IP. pic.twitter.com/5CMAuabC1I
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
:strip_exif()/i/2006990350.jpeg?f=fpa)
:strip_exif()/i/1353585278.jpeg?f=fpa)
/i/2006239834.png?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2005017354.png?f=fpa)
:strip_exif()/i/2006707916.jpeg?f=fpa)
/i/2004628658.png?f=fpa)
:strip_icc():strip_exif()/u/70819/avater.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/22888/bee-1-Photo-P-Perry2-70x70.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/343266/zwaard.jpg?f=community){kind=small}
/u/4739/logo-clean-icon.png?f=community){kind=icon}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/1054197/crop5ad4ec0b091b1.jpeg?f=community){kind=small}
