Исследователи из компании Proofpoint обнаружили активную эксплуатацию серьезной уязвимости удаленного выполнения кода в SMTP-сервере Zimbra, отслеживаемой как CVE-2024-45519. Уязвимость, существующая в компоненте службы Zimbra postjournal, используемой для журналирования и архивирования электронной почты, позволяет неавторизованным удаленным злоумышленникам выполнять произвольные команды и потенциально захватывать контроль над затронутыми системами
CVE-2024-45519
Начиная с 28 сентября, исследователи Proofpoint заметили, что злоумышленники отправляют поддельные электронные письма на уязвимые серверы Zimbra. Письма, которые представляются письмами от Gmail, содержат закодированный в base64 вредоносный код в поле CC. Этот код предназначен для выполнения shell-команд на уязвимых серверах Zimbra. Анализ, проведенный компанией Proofpoint, показал, что вредоносные письма отправляются с сервера в Болгарии, и что этот же сервер используется для отправки писем-эксплойтов и размещения полезной нагрузки второго этапа. Это говорит о том, что операция была относительно несложной.
Объем атак остается неизменным с момента их начала и, судя по всему, носит скорее конъюнктурный, чем целенаправленный характер. Изначально уязвимость была обнаружена компанией Project Discovery, которая выпустила доказательство концепции и отметила, что проблема связана с неспособностью должным образом обеззараживать пользовательский ввод. Zimbra выпустила обновления для устранения уязвимости, но не раскрыла подробностей ее устранения. Популярность Zimbra Collaboration Suite, используемого тысячами компаний и миллионами пользователей, делает его значительной целью для злоумышленников, о чем свидетельствуют предыдущие эксплойты китайских APT-акторов и северокорейской Lazarus Group.
Indicators of Compromise
IPv4
- 79.124.49.86
