Эксплуатация уязвимости в почтовых серверах Zimbra началась
04/10/24
Эксперты по кибербезопасности призывают немедленно обновить почтовые серверы Zimbra, так как новая критическая уязвимость уже активно используется хакерами.
Уязвимость с идентификатором CVE-2024-45519 была обнаружена 27 сентября. Proofpoint сообщает, что атаки на уязвимые серверы начались на следующий день после её публикации.
Согласно анализу Project Discovery, проблема кроется в библиотеке postjournal Zimbra и связана с недостаточной проверкой пользовательского ввода. Хакеры могут добавлять фальшивые адреса в поле CC в электронных письмах, которые маскируются под письма от имени Gmail. В результате вместо реальных адресов в поле появляются строки в формате base64, которые обрабатываются почтовыми серверами Zimbra, пишет Securitylab.
Эксплуатация уязвимости позволяет злоумышленникам получать несанкционированный доступ, повышать привилегии и ставить под угрозу безопасность системы. Project Discovery сообщает, что даже не обновлённые версии Zimbra могут частично защищать от атаки, но небольшие изменения в синтаксисе команд позволяют обойти эту защиту.
По данным Proofpoint, одни и те же серверы, которые используют для рассылки вредоносных писем, также задействованы для загрузки и установки вредоносного ПО на скомпрометированные системы. Хакеры пытаются создать веб-оболочки на уязвимых серверах Zimbra, что даёт им возможность выполнять команды и загружать файлы удалённо.
Иван Квятковский, ведущий исследователь киберугроз в HarfangLab, предупредил, что массовые атаки уже начались, и настоятельно рекомендует пользователям Zimbra немедленно установить обновления.
Согласно странице рекомендаций по безопасности Zimbra , уязвимость была обнаружена аспирантом Аланом Ли из Национального университета Ян Мин Чао Тунг в Тайване. Хотя ей пока не присвоен официальный уровень опасности, исследователи Project Discovery оценили её как «критическую» из-за серьёзных угроз безопасности.
Национальная база данных уязвимостей (NVD) присвоила уязвимости идентификатор CVE. Однако из-за высокой нагрузки на организацию процесс анализа уязвимостей задерживается. В феврале этого года NVD заявила, что ей необходимо время для «решения проблем в программе NVD и разработки улучшенных инструментов и методов». По данным VulnCheck , к маю 93,4% всех уязвимостей имели недостаточно информации для обеспечения защиты.