Los investigadores advierten que los atacantes están explotando activamente una vulnerabilidad crítica en los servidores de correo vendidos por Zimbra en un intento de ejecutar de forma remota comandos maliciosos que instalan una puerta trasera. La vulnerabilidad, rastreada como CVE-2024-45519, reside en el servidor de colaboración y correo electrónico Zimbra utilizado por organizaciones medianas y grandes. Cuando un administrador cambia manualmente la configuración predeterminada para habilitar el servicio postdiario, los atacantes pueden ejecutar comandos enviando correos electrónicos con formato malicioso a una dirección alojada en el servidor. Zimbra recientemente parchó la vulnerabilidad. Todos los usuarios de Zimbra deben instalarlo o, como mínimo, asegurarse de que el postjournal esté deshabilitado. Fácil, sí, pero ¿confiable? El martes, el investigador de seguridad Ivan Kwiatkowski informó por primera vez sobre los ataques en estado salvaje, que describió como “explotación masiva”. Dijo que los correos electrónicos maliciosos fueron enviados por la dirección IP 79.124.49.[.]86 y, cuando tuvo éxito, intentó ejecutar un archivo alojado allí utilizando la herramienta conocida como curl. Los investigadores de la firma de seguridad Proofpoint acudieron a las redes sociales ese mismo día para confirmar el informe. El miércoles, investigadores de seguridad proporcionaron detalles adicionales que sugerían que era probable que se contuviera el daño causado por la explotación en curso. Como ya se señaló, dijeron, se debe cambiar una configuración predeterminada, lo que probablemente reducirá la cantidad de servidores que son vulnerables. El investigador de seguridad Ron Bowes continuó informando que «la carga útil en realidad no hace nada: descarga un archivo (a la salida estándar) pero no hace nada con él». Dijo que en el lapso de aproximadamente una hora el miércoles anterior, un servidor Honey Pot que operaba para observar las amenazas en curso recibió aproximadamente 500 solicitudes. También informó que la carga útil no se entrega directamente a través de correos electrónicos, sino a través de una conexión directa al servidor malicioso a través de SMTP, abreviatura de Protocolo simple de transferencia de correo. «Eso es todo lo que hemos visto (hasta ahora), realmente no parece un ataque grave», escribió Bowes. «¡Lo vigilaré y veré si intentan algo más!» En un correo electrónico enviado el miércoles por la tarde, el investigador de Proofpoint, Greg Lesnewich, parecía estar de acuerdo en gran medida en que no era probable que los ataques condujeran a infecciones masivas que pudieran instalar ransomware o malware de espionaje. El investigador proporcionó los siguientes detalles: Si bien los intentos de explotación que hemos observado fueron indiscriminados en su objetivo, no hemos visto un gran volumen de intentos de explotación. Según lo que hemos investigado y observado, la explotación de esta vulnerabilidad es muy fácil, pero lo hacemos. No tengo ninguna información sobre qué tan confiable es la explotación. La explotación se ha mantenido más o menos igual desde que la detectamos por primera vez el 28 de septiembre. Hay un PoC disponible y los intentos de explotación parecen oportunistas. La explotación es geográficamente diversa y parece indiscriminada. El hecho de que el atacante sea El uso del mismo servidor para enviar correos electrónicos de explotación y alojar cargas útiles de segunda etapa indica que el actor no tiene un conjunto distribuido de infraestructura para enviar correos electrónicos de explotación y manejar infecciones después de una explotación exitosa. Es de esperar que el servidor de correo electrónico y los servidores de carga útil sean entidades diferentes en una operación más madura. Los defensores que protegen los dispositivos Zimbra deben estar atentos a direcciones CC o To extrañas que parezcan mal formadas o contengan cadenas sospechosas, así como registros del servidor Zimbra que indiquen conexiones salientes a direcciones IP remotas. Proofpoint ha explicado que algunos de los correos electrónicos maliciosos utilizaban múltiples direcciones de correo electrónico que, cuando se pegaban en el campo CC, intentaban instalar una puerta trasera basada en webshell en servidores Zimbra vulnerables. La lista completa de cc se envolvió como una sola cadena y se codificó utilizando el algoritmo base64. Cuando se combinaron y volvieron a convertir a texto sin formato, crearon un webshell en la ruta: /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.