CVE-2024-45519 è una vulnerabilità critica di esecuzione di codice da remoto (RCE) nel servizio postjournal di Zimbra, attualmente sotto attacco attivo. Si raccomanda vivamente agli utenti di aggiornare immediatamente i propri sistemi, poiché una Proof of Concept (PoC) ha dimostrato che la vulnerabilità può essere sfruttata attraverso email appositamente costruite. I sensori di Cyble hanno rilevato oltre 90.000 istanze Zimbra esposte su internet con vulnerabilità precedenti non corrette, rendendo fondamentale un intervento rapido da parte di tutti i clienti Zimbra.
| Prodotto | Zimbra imapd |
| Data | 2024-10-02 13:55:44 |
| Informazioni |
|
Riassunto tecnico
Una vulnerabilità critica di esecuzione di codice da remoto è stata individuata nelle versioni della Zimbra Collaboration Suite. Questa falla è attualmente oggetto di sfruttamento attivo, consentendo agli attaccanti di ottenere accesso non autorizzato, eseguire comandi arbitrari e potenzialmente aumentare i privilegi. Uno sfruttamento riuscito potrebbe compromettere l’integrità e la riservatezza dei sistemi interessati, portando al pieno controllo dell’ambiente bersaglio.
Raccomandazioni
Patch Immediato: Gli amministratori di Zimbra devono aggiornare alle versioni corrette che aggiungono una sanitizzazione dell’input e sostituiscono
popenconexecvpper mitigare la vulnerabilità di iniezione diretta di comandi. Le versioni patchate includono: – 9.0.0 Patch 41 – 10.0.9 – 10.1.1 – 8.8.15 Patch 46Verifica della Configurazione: Gli amministratori devono verificare la configurazione del parametro
mynetworksper impedire lo sfruttamento esterno della vulnerabilità.Monitoraggio di Attività Malevole: Monitorare email sospette e tentativi di exploit, in particolare provenienti da fonti note come l’indirizzo IP
79.124.49[.]86.
Vuoi una Threat Intelligence realmente costruita sul tuo business?
Affidati a ISGroup per:
- Demo personalizzata sui tuoi asset digitali
- Assessment gratuito per valutare il rischio in 48h
- Confronto diretto con un ethical hacker senior