研究人員警告說,攻擊者正在積極利用 Zimbra 銷售的郵件伺服器中的一個嚴重漏洞,試圖遠端執行安裝後門的惡意命令。
此漏洞編號為 CVE-2024-45519,存在於大中型組織使用的 Zimbra 電子郵件和協作伺服器中。當管理員手動更改預設設定以啟用日誌發布服務時,攻擊者可以透過將惡意形成的電子郵件傳送到伺服器上託管的位址來執行命令。 Zimbra 最近修復了該漏洞。所有 Zimbra 用戶都應該安裝它,或至少確保 postjournal 停用。
是的,簡單,但是可靠嗎?
週二,安全研究員 Ivan Kwiatkowski 首次報告了這些野外攻擊,他將其描述為「大規模剝削」。他表示,惡意電子郵件是由IP位址79.124.49發送的[.]86,成功後,嘗試使用名為「curl」的工具執行那裡託管的檔案。當天晚些時候,安全公司 Proofpoint 的研究人員在社群媒體上證實了這項報告。
週三,安全研究人員提供了更多細節,表明持續利用造成的傷害可能會受到控制。正如已經指出的,他們表示,必須更改預設設置,這可能會減少易受攻擊的伺服器數量。
安全研究員 Ron Bowes 繼續報告說,“有效負載實際上並沒有做任何事情——它下載一個文件(到標準輸出),但沒有用它做任何事情。”他表示,在周三早些時候的大約一個小時內,他操作的用於觀察持續威脅的蜜罐伺服器收到了大約 500 個請求。他還報告說,有效負載並不是直接透過電子郵件傳遞,而是透過 SMTP(簡單郵件傳輸協定的縮寫)直接連接到惡意伺服器。
「這就是我們(到目前為止)所看到的一切,這看起來並不是一次嚴重的攻擊,」鮑斯寫道。 “我會密切關注,看看他們是否會嘗試其他方法!”
在周三下午發送的一封電子郵件中,Proofpoint 研究員 Greg Lesnewich 似乎基本上同意這些攻擊不太可能導致大規模感染,安裝勒索軟體或間諜惡意軟體。研究人員提供了以下詳細資訊:
- 雖然我們觀察到的利用嘗試在目標上是不加區別的,但我們還沒有看到大量的利用嘗試
- 根據我們的研究和觀察,該漏洞的利用非常容易,但我們沒有任何關於利用該漏洞的可靠性的信息
- 自 9 月 28 日首次發現以來,利用情況基本保持不變
- 有可用的 PoC,並且利用嘗試似乎是投機取巧的
- 剝削的地域分佈廣泛且似乎不分青紅皂白
- 攻擊者使用同一台伺服器發送漏洞利用電子郵件並託管第二階段有效負載這一事實表明,攻擊者沒有一套分散式基礎設施來發送漏洞利用電子郵件並在成功利用漏洞後處理感染。我們希望電子郵件伺服器和有效負載伺服器在更成熟的操作中是不同的實體。
- 保護 Zimbra 裝置的防禦者應留意看似格式錯誤或包含可疑字串的奇怪 CC 或 To 位址,以及來自 Zimbra 伺服器的指示遠端 IP 位址出站連線的日誌。
Proofpoint 解釋說,一些惡意電子郵件使用多個電子郵件地址,當將這些位址貼到 CC 欄位時,它們會嘗試在易受攻擊的 Zimbra 伺服器上安裝基於 Webshell 的後門。完整的抄送清單被包裝為單一字串並使用 base64 演算法進行編碼。當組合並轉換回純文字時,他們在以下路徑創建了一個 Webshell:/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp。