'Patch ontem': servidores de e-mail Zimbra sob cerco pela vulnerabilidade RCE
“Patch ontem” é o conselho dos pesquisadores da infosec, já que a mais recente vulnerabilidade crítica que afeta os servidores de e-mail Zimbra está sendo explorada em massa.
A vulnerabilidade de execução remota de código (CVE-2024-45519) foi divulgada em 27 de setembro, junto com uma exploração de prova de conceito (PoC), e a Proofpoint relata que os ataques que a utilizam começaram no dia seguinte.
De acordo com o Projeto Discovery análise do problema, a falha está na biblioteca pós-diário do Zimbra e pode ser atribuída à limpeza inadequada das entradas do usuário.
Os invasores podem, e evidentemente estão, adicionando endereços CC falsos a e-mails que falsificam Gmail. Em vez de endereços de e-mail legítimos, os campos CC são preenchidos com strings base64, que são então analisadas e executadas pelos servidores de e-mail do Zimbra.
“A exploração bem-sucedida pode levar ao acesso não autorizado, ao aumento de privilégios e ao comprometimento potencial da integridade e confidencialidade do sistema afetado”, disseram os pesquisadores.
O relatório do Project Discovery observa que, embora as versões sem patch do Zimbra ofereçam um certo grau de proteção contra esse ataque, ele pode ser contornado com um pequeno ajuste de sintaxe no comando.
Sua exploração PoC funcionou nas portas 10027 e 25 e, após alguns problemas iniciais, foi comprovado que funcionava remotamente também, como evidenciado pelas tentativas de exploração desde então.
Ponto de prova disse na terça-feira, o invasor, ou invasores, é desconhecido e “por razões desconhecidas” o mesmo servidor usado para enviar os e-mails maliciosos também hospeda a carga útil do segundo estágio.
O(s) invasor(es) parece(m) estar tentando construir webshells em servidores Zimbra vulneráveis, que oferecem suporte para execução de comandos e download e execução de arquivos.
Ivan Kwiatkowski, pesquisador-chefe de ameaças cibernéticas do HarfangLab, disse: “Se você estiver usando Zimbra, a exploração em massa do CVE-2024-45519 começou. Patch ontem.”
Consultoria de segurança de Per Zimbra páginao bug foi relatado inicialmente por Alan Li, um estudante de graduação em ciência da computação da Universidade Nacional Yang Ming Chiao Tung de Taiwan.
Como muitas das vulnerabilidades recentes relatadas à empresa por trás da plataforma de colaboração e e-mail comercial, ainda não foi atribuída uma pontuação de gravidade.
No entanto, a opinião do Project Discovery foi que ele tinha uma classificação de gravidade “crítica” – uma classificação reservada apenas para as vulnerabilidades mais terríveis.
O identificador CVE foi atribuído e é reconhecido pelo National Vulnerability Database (NVD), mas a luta da organização para analisar e enriquecer os dados dos CVEs continua, pois o seu atraso ainda é significativo.
Em fevereiro deste ano, o NVD anunciado uma desaceleração nas suas análises de vulnerabilidade, dizendo que precisava de tempo para “enfrentar os desafios do programa NVD e desenvolver ferramentas e métodos melhorados”.
Neste ponto, o atraso era acentuado – cerca de 18.000 vulnerabilidades – mas em maio, 93,4% do total careciam de detalhes importantes para os defensores, de acordo com VulnCheck.
O Instituto Nacional de Padrões e Tecnologia (NIST), que mantém o NVD, um programa do governo dos EUA, entregou um contrato a um terceiroAnalygence, em maio para ajudar a eliminar o atraso.
Isto ajudou a reduzir significativamente o heap e, até agora, apenas 14,1% dos novos CVEs não têm uma pontuação de gravidade. No entanto, o NIST estabeleceu originalmente o prazo de 30 de setembro para esclarecer totalmente as coisas, portanto ainda há trabalho a ser feito. ®