Angreifer nutzen aktiv eine kritische Schwachstelle in von Zimbra verkauften Mailservern aus, um aus der Ferne bösartige Befehle auszuführen, die eine Hintertür installieren, warnen Forscher.
Die Schwachstelle mit der Bezeichnung CVE-2024-45519 liegt im Zimbra-E-Mail- und Kollaborationsserver, der von mittleren und großen Organisationen verwendet wird. Wenn ein Administrator die Standardeinstellungen manuell ändert, um den Postjournal-Dienst zu aktivieren, können Angreifer Befehle ausführen, indem sie in böswilliger Absicht erstellte E-Mails an eine auf dem Server gehostete Adresse senden. Zimbra vor kurzem hat die Schwachstelle gepatcht. Alle Zimbra-Benutzer sollten es installieren oder zumindest sicherstellen, dass Postjournal deaktiviert ist.
Einfach ja, aber zuverlässig?
Am Dienstag sagte der Sicherheitsforscher Ivan Kwiatkowski zuerst berichtet die Angriffe in freier Wildbahn, die er als „Massenausbeutung“ bezeichnete. Er sagte, die bösartigen E-Mails seien von der IP-Adresse 79.124.49(.)86 gesendet worden und hätten bei Erfolg versucht, eine dort gehostete Datei mit dem Tool namens Curl auszuführen. Forscher des Sicherheitsunternehmens Proofpoint nutzten später am Tag die sozialen Medien, um den Bericht zu bestätigen.
Am Mittwoch legten Sicherheitsforscher weitere Details vor, die darauf hindeuteten, dass der Schaden durch die anhaltende Ausnutzung wahrscheinlich eingedämmt wird. Wie bereits erwähnt, müsse eine Standardeinstellung geändert werden, was wahrscheinlich die Anzahl der anfälligen Server verringern werde.
Der Sicherheitsforscher Ron Bowes fuhr fort: Bericht dass die „Payload eigentlich nichts tut – sie lädt eine Datei herunter (auf stdout), macht aber nichts damit.“ Er sagte, dass ein Honey-Pot-Server, den er zur Beobachtung laufender Bedrohungen betrieb, innerhalb von etwa einer Stunde am Mittwoch etwa 500 Anfragen erhalten habe. Er berichtete auch, dass die Nutzlast nicht direkt per E-Mail übermittelt wird, sondern über eine direkte Verbindung zum bösartigen Server über SMTP, kurz für Simple Mail Transfer Protocol.
„Das ist alles, was wir bisher gesehen haben. Es scheint nicht wirklich ein ernsthafter Angriff zu sein“, schrieb Bowes. „Ich werde es im Auge behalten und sehen, ob sie noch etwas anderes ausprobieren!“
In einer am Mittwochnachmittag verschickten E-Mail schien Proofpoint-Forscher Greg Lesnewich weitgehend der Meinung zu sein, dass die Angriffe wahrscheinlich nicht zu Masseninfektionen führen würden, die Ransomware oder Spionage-Malware installieren könnten. Der Forscher machte folgende Angaben:
- Obwohl die von uns beobachteten Ausbeutungsversuche wahllos waren, haben wir keine groĂźe Anzahl von Ausbeutungsversuchen gesehen
- Basierend auf unseren Recherchen und Beobachtungen ist die Ausnutzung dieser Schwachstelle sehr einfach, wir haben jedoch keine Informationen darüber, wie zuverlässig die Ausnutzung ist
- Die Ausbeutung ist ungefähr gleich geblieben, seit wir sie am 28. September zum ersten Mal entdeckt haben
- Es ist ein PoC verfĂĽgbar und die Exploit-Versuche erscheinen opportunistisch
- Die Ausbeutung ist geografisch vielfältig und scheint wahllos
- Die Tatsache, dass der Angreifer denselben Server zum Senden der Exploit-E-Mails und zum Hosten von Payloads der zweiten Stufe verwendet, weist darauf hin, dass der Akteur nicht ĂĽber eine verteilte Infrastruktur verfĂĽgt, um Exploit-E-Mails zu senden und Infektionen nach erfolgreicher Ausnutzung zu behandeln. Wir wĂĽrden erwarten, dass der E-Mail-Server und die Nutzlastserver in einem ausgereifteren Betrieb unterschiedliche Einheiten sind.
- Verteidiger, die Zimbra-Appliances schützen, sollten nach seltsamen CC- oder To-Adressen Ausschau halten, die fehlerhaft aussehen oder verdächtige Zeichenfolgen enthalten, sowie nach Protokollen vom Zimbra-Server, die auf ausgehende Verbindungen zu Remote-IP-Adressen hinweisen.
Proofpoint hat erklärt, dass einige der bösartigen E-Mails mehrere E-Mail-Adressen verwendeten, die beim Einfügen in das CC-Feld versuchten, eine Webshell-basierte Hintertür auf anfälligen Zimbra-Servern zu installieren. Die vollständige CC-Liste wurde als einzelne Zeichenfolge verpackt und mit dem Base64-Algorithmus codiert. Wenn sie kombiniert und wieder in Klartext umgewandelt wurden, erstellten sie eine Webshell unter dem Pfad: /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.