
Penyerang secara aktif menargetkan kerentanan eksekusi kode jarak jauh yang parah yang baru-baru ini diungkapkan Zimbra di server SMTP-nya, sehingga meningkatkan urgensi bagi organisasi yang terkena dampak untuk segera melakukan patch pada instans yang rentan.
Bug, diidentifikasi sebagai CVE-2024-45519hadir dalam komponen layanan pasca jurnal Zimbra untuk penjurnalan dan pengarsipan email. Hal ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada sistem yang rentan dan mengambil kendali atas sistem tersebut. Zimbra mengeluarkan pembaruan untuk versi yang terkena dampak minggu lalu tetapi sejauh ini belum merilis rincian cacat apa pun.
Serangan Dimulai 28 September
Para peneliti di Proofpoint minggu ini melaporkan pengamatan serangan yang menargetkan kelemahan tersebut dimulai pada 28 September dan terus berlanjut. Di sebuah rangkaian postingan di Xvendor keamanan menggambarkan para penyerang mengirimkan email palsu yang sepertinya berasal dari Gmail ke server Zimbra yang rentan. Email tersebut berisi kode berbahaya berkode base64 di bidang CC, bukan alamat email biasa. Kode ini dibuat untuk mengelabui Zimbra agar menjalankannya sebagai perintah shell, bukan memprosesnya sebagai alamat email biasa. Teknik ini berpotensi memungkinkan penyerang untuk menjalankan perintah tidak sah pada server Zimbra yang terpengaruh, kata Proofpoint.
“Beberapa email dari pengirim yang sama menggunakan serangkaian alamat CC yang mencoba membangun shell Web pada server Zimbra yang rentan,” kata Proofpoint. “Daftar CC lengkap dibungkus sebagai string, dan jika blob base64 digabungkan, mereka akan mendekode menjadi perintah untuk menulis shell Web.”
Web shell memungkinkan penyerang untuk mengakses server dari jarak jauh melalui permintaan HTTP yang dibuat khusus dan untuk mengubah file, mengakses data sensitif, dan menjalankan perintah sewenang-wenang lainnya. Para penyerang dapat menggunakannya untuk mengunduh dan menjalankan kode berbahaya pada sistem yang rentan, kata Proofpoint. “Setelah diinstal, webshell mendengarkan koneksi masuk dengan bidang Cookie JSESSIONID yang telah ditentukan sebelumnya,” kata vendor tersebut. “Jika ada, webshell kemudian akan mengurai cookie JACTION untuk perintah base64. Webshell memiliki dukungan untuk eksekusi perintah melalui exec atau mengunduh dan mengeksekusi file melalui koneksi soket.”
Tambalan Kemarin
Ivan Kwiatkowski, peneliti ancaman di HarfangLab, mengatakan email berbahaya tersebut berasal dari 79.124.49[.]86, yang tampaknya berbasis di Bulgaria. “Jika kamu menggunakan @Zimbraeksploitasi massal CVE-2024-45519 telah dimulai. Tambalan kemarin.”
Khususnya, pelaku ancaman menggunakan server yang sama untuk mengirim email eksploitasi dan menghosting muatan tahap kedua, yang menunjukkan operasi yang relatif belum matang, kata Greg Lesnewich, peneliti ancaman di Proofpoint. “Hal ini menunjukkan fakta bahwa pelaku tidak memiliki infrastruktur terdistribusi untuk mengirim email eksploitasi dan menangani infeksi setelah eksploitasi berhasil,” kata Lesnewich. “Kami berharap server email dan server payload menjadi entitas yang berbeda dalam operasi yang lebih matang.”
Lesnewich mengatakan volume serangan tetap sama sejak dimulai minggu lalu dan tampaknya lebih bersifat oportunistik daripada yang ditargetkan.
Kesalahan Sanitasi MasukanR
Para peneliti di Project Discovery open source merilis bukti konsep kerentanan pada 27 September mengidentifikasi masalahnya berasal dari kegagalan dalam membersihkan input pengguna dengan benar, sehingga memungkinkan penyerang untuk memasukkan perintah sewenang-wenang. Versi perangkat lunak Zimbra yang ditambal telah mengatasi masalah ini dan menetralisir kemampuan injeksi perintah langsung, tulis para peneliti. Meski begitu, “penting bagi administrator untuk segera menerapkan patch terbaru,” catat mereka. “Selain itu, memahami dan mengonfigurasi parameter mynetworks dengan benar sangatlah penting, karena kesalahan konfigurasi dapat menyebabkan layanan terkena eksploitasi eksternal.”
Ribuan perusahaan dan jutaan pengguna menggunakan Zimbra Collaboration Suite untuk layanan email, kalender, obrolan, dan video. Popularitasnya menjadikan teknologi ini target besar bagi para penyerang. Tahun lalu, misalnya, para peneliti menemukan sebanyak empat pelaku ancaman persisten tingkat lanjut di Tiongkok memanfaatkan zero-day Zimbra (CVE-2023-37580) untuk menargetkan lembaga pemerintah di seluruh dunia. Zimbra memperbaiki kelemahan tersebut pada Juli 2023, sebulan setelah serangan dimulai. Februari lalu, para peneliti di W Labs melihat Lazarus Group yang produktif di Korea Utara mencoba mencuri intelijen dari organisasi di sektor kesehatan dan energi dengan menargetkan server Zimbra yang belum ditambal.