محققان امنیت سایبری در مورد تلاشهایی برای بهره برداری فعال از یک آسیب پذیری امنیتی جدید در Syncor’s Zimbra Collabration هشدار داده اند.
Proofpoint مشاهداتی از شروع فعالیت ها در 28 سپتامبر داشته است. این حملات به دنبال سوءاستفاده از آسیب پذیری CVE-2024-45519 در سرویس Zimbra’s postjournal هستند که با استفاده از آن مهاجم می تواند دستورات دلخواه خود را روی سیستم های آسیب پذیر اجرا کند.
به گفته Proofpoint ایمیل های Spoofing جیمیل به آدرس های جعلی در فیلد CC ارسال شده تا بتوانند برای اجرای دستورات خود در سرورهای Zimbra اقدام کنند. این آدرس جعلی شامل یک رشته 64 بیتی است که با ابزار sh اجرا شده است.
این آسیب پذیری حیاتی توسط Zimbra در نسخه های 8.8.15 وصله 46، 9.0.0 وصله 41 و 10.0.9 و 10.1.1، رفع شده است. با اینکه قابلیت postjournal ممکن است انتخابی بوده یا حتی غیرفعال باشد اما همچنان لازم است که وصله های در دسترس برای پیشگیری از بهره برداری ها نصب شوند.
در سیستم هایی که قابلیت postjournal فعال نبوده و وصله ها را نمیتوان به هر دلیلی نصب کرد حذف باینری postjournal می تواند یک راهکار موقت باشد.
با شناسایی آدرس های CC شده و رمزگشایی آنها، مشخص شد که مهاجمان تلاش داشتند یک web shell در سرور آسیب پذیر Zimbra در آدرس زیر نوشته شود:
“/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
Web Shell نصب شده متعاقبا به اتصال ورودی یک فیلد کوکی JSESSIONID از پیش تعیین شده را شنود کرده و در صورت وجود، به تجزیه JACTION برای دستورات 64 بیتی می پردازد.
Web Shell مجهز به پشتیبانی از اجرای فرمان از طریق exec است. همچنین، میتواند یک فایل را از طریق یک اتصال سوکت دانلود و اجرا کند. این حملات هنوز به یک عامل یا گروه تهدید شناخته شده نسبت داده نشده است.
با این حال به نظر می رسد که فعالیت های بهره برداری از این آسیب پذیری، یک روز بعد از انتشار جزییات فنی آن آغاز شده باشد. با توجه به تلاش های زیاد برای بهره برداری، اکیدا توصیه می شود که کاربران آخرین وصله های موجود را در اسرع وقت نصب نمایند.
منبع:
thehackernews.com
