攻撃者は、バックドアをインストールする悪意のあるコマンドをリモートで実行するために、Zimbra が販売するメール サーバーの重大な脆弱性を積極的に悪用していると研究者は警告しています。
この脆弱性は CVE-2024-45519 として追跡されており、中規模および大規模の組織が使用する Zimbra 電子メールおよびコラボレーション サーバーに存在します。管理者がデフォルト設定を手動で変更してジャーナル後サービスを有効にすると、攻撃者はサーバー上でホストされているアドレスに悪意を持って作成された電子メールを送信してコマンドを実行する可能性があります。 Zimbra は最近この脆弱性を修正しました。すべての Zimbra ユーザーは、これをインストールするか、少なくともポストジャーナルが無効になっていることを確認する必要があります。
確かに簡単ですが、信頼できるでしょうか?
火曜日、セキュリティ研究者のイワン・クウィアトコウスキー氏は、この実際の攻撃を「大規模な搾取」と表現した最初の報告を行った。同氏によると、悪意のある電子メールはIPアドレス79.124.49(.)86によって送信され、成功するとcurlとして知られるツールを使用してそこにホストされているファイルを実行しようとしたという。セキュリティ企業プルーフポイントの研究者らはその日遅くにソーシャルメディアで報道を確認した。
水曜日、セキュリティ研究者らは、進行中の悪用による被害が抑制される可能性が高いことを示唆する追加の詳細を提供した。すでに述べたように、彼らは、デフォルト設定を変更する必要があり、これにより脆弱なサーバーの数が減る可能性があると述べています。
セキュリティ研究者のロン・ボウズ氏は続けて、「ペイロードは実際には何も行わない。ファイルを(標準出力に)ダウンロードするが、それに関しては何も行わない」と報告した。同氏は、水曜日の約1時間の間に、進行中の脅威を監視するために運用していたハニーポットサーバーが約500件のリクエストを受け取ったと述べた。同氏はまた、ペイロードは電子メールを通じて直接配信されるのではなく、SMTP (Simple Mail Transfer Protocol の略) を介した悪意のあるサーバーへの直接接続を通じて配信されると報告しました。
「(これまでに)我々が確認したのはこれだけだ。深刻な攻撃とは思えない」とボウズ氏は書いた。 「私はそれを監視して、彼らが何か他のことを試みるかどうか見てみましょう!」
水曜日の午後に送信された電子メールの中で、プルーフポイントの研究者グレッグ・レスネウィッチ氏は、この攻撃がランサムウェアやスパイ活動マルウェアをインストールする可能性のある大規模感染につながる可能性は低いという点でほぼ同意しているようだ。研究者は次の詳細を提供しました。
- 私たちが観察した悪用の試みは無差別にターゲットを絞っていましたが、大量の悪用の試みは確認されていませんでした。
- 私たちが調査し観察した結果によると、この脆弱性の悪用は非常に簡単ですが、その悪用の信頼性については情報がありません。
- 9 月 28 日に最初に発見されて以来、悪用はほぼ変わっていません。
- PoC が利用可能であり、エクスプロイトの試みはご都合主義であるように見えます。
- 搾取は地理的に多様であり、無差別に行われているように見える
- 攻撃者がエクスプロイト電子メールの送信と第 2 段階ペイロードのホストに同じサーバーを使用しているという事実は、攻撃者がエクスプロイト電子メールを送信し、エクスプロイト成功後の感染を処理するための分散インフラストラクチャ セットを持っていないことを示しています。より成熟した運用では、電子メール サーバーとペイロード サーバーは異なるエンティティになることが予想されます。
- Zimbra アプライアンスを保護する防御者は、不正な形式に見える、または疑わしい文字列を含む奇妙な CC または To アドレス、およびリモート IP アドレスへのアウトバウンド接続を示す Zimbra サーバーからのログに注意する必要があります。
Proofpointは、悪意のある電子メールの一部には複数の電子メールアドレスが使用されており、CCフィールドに貼り付けられると、脆弱なZimbraサーバーにWebシェルベースのバックドアをインストールしようとしたと説明した。完全な cc リストは単一の文字列としてラップされ、base64 アルゴリズムを使用してエンコードされました。結合してプレーンテキストに戻すと、パス /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp に Web シェルが作成されました。