Патч или крах: эксплуатация уязвимости Zimbra уже началась

Патч или крах: эксплуатация уязвимости Zimbra уже началась

Злоумышленники маскируют команды в почтовых сообщениях.

image

Эксперты по кибербезопасности призывают немедленно обновить почтовые серверы Zimbra, так как новая критическая уязвимость уже активно используется хакерами.

Уязвимость с идентификатором CVE-2024-45519 была обнаружена 27 сентября. Proofpoint сообщает, что атаки на уязвимые серверы начались на следующий день после её публикации.

Согласно анализу Project Discovery, проблема кроется в библиотеке postjournal Zimbra и связана с недостаточной проверкой пользовательского ввода. Хакеры могут добавлять фальшивые адреса в поле CC в электронных письмах, которые маскируются под письма от имени Gmail. В результате вместо реальных адресов в поле появляются строки в формате base64, которые обрабатываются почтовыми серверами Zimbra.

Эксплуатация уязвимости позволяет злоумышленникам получать несанкционированный доступ, повышать привилегии и ставить под угрозу безопасность системы. Project Discovery сообщает, что даже не обновлённые версии Zimbra могут частично защищать от атаки, но небольшие изменения в синтаксисе команд позволяют обойти эту защиту.

По данным Proofpoint, одни и те же серверы , которые используют для рассылки вредоносных писем, также задействованы для загрузки и установки вредоносного ПО на скомпрометированные системы. Хакеры пытаются создать веб-оболочки на уязвимых серверах Zimbra, что даёт им возможность выполнять команды и загружать файлы удалённо.

Иван Квятковский, ведущий исследователь киберугроз в HarfangLab, предупредил , что массовые атаки уже начались, и настоятельно рекомендует пользователям Zimbra немедленно установить обновления.

Согласно странице рекомендаций по безопасности Zimbra , уязвимость была обнаружена аспирантом Аланом Ли из Национального университета Ян Мин Чао Тунг в Тайване. Хотя ей пока не присвоен официальный уровень опасности, исследователи Project Discovery оценили её как «критическую» из-за серьёзных угроз безопасности.

Национальная база данных уязвимостей (NVD) присвоила уязвимости идентификатор CVE. Однако из-за высокой нагрузки на организацию процесс анализа уязвимостей задерживается. В феврале этого года NVD заявила , что ей необходимо время для «решения проблем в программе NVD и разработки улучшенных инструментов и методов». По данным VulnCheck , к маю 93,4% всех уязвимостей имели недостаточно информации для обеспечения защиты.

Национальный институт стандартов и технологий (NIST), управляющий NVD, подписал контракт с компанией Analygence в мае, чтобы ускорить обработку уязвимостей. Несмотря на прогресс, 14,1% новых уязвимостей всё ещё остаются без оценки степени опасности, хотя NIST обещала завершить работу к 30 сентября.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь