CVE-2024-45519 è una vulnerabilità critica di esecuzione di codice da remoto (RCE) nel servizio postjournal di Zimbra, attualmente sotto attacco attivo. Si raccomanda vivamente agli utenti di aggiornare immediatamente i propri sistemi, poiché una Proof of Concept (PoC) ha dimostrato che la vulnerabilità può essere sfruttata attraverso email appositamente costruite. I sensori di Cyble hanno rilevato oltre 90.000 istanze Zimbra esposte su internet con vulnerabilità precedenti non corrette, rendendo fondamentale un intervento rapido da parte di tutti i clienti Zimbra.
| Prodotto | Zimbra imapd |
| Data | 2024-10-02 13:55:44 |
| Informazioni | Trending, Fix Available |
Riassunto tecnico
Una vulnerabilità critica di esecuzione di codice da remoto è stata individuata nelle versioni della Zimbra Collaboration Suite. Questa falla è attualmente oggetto di sfruttamento attivo, consentendo agli attaccanti di ottenere accesso non autorizzato, eseguire comandi arbitrari e potenzialmente aumentare i privilegi. Uno sfruttamento riuscito potrebbe compromettere l’integrità e la riservatezza dei sistemi interessati, portando al pieno controllo dell’ambiente bersaglio.
Raccomandazioni
-
Patch Immediato: Gli amministratori di Zimbra devono aggiornare alle versioni corrette che aggiungono una sanitizzazione dell’input e sostituiscono
popenconexecvpper mitigare la vulnerabilità di iniezione diretta di comandi. Le versioni patchate includono:
– 9.0.0 Patch 41
– 10.0.9
– 10.1.1
– 8.8.15 Patch 46 -
Verifica della Configurazione: Gli amministratori devono verificare la configurazione del parametro
mynetworksper impedire lo sfruttamento esterno della vulnerabilità. -
Monitoraggio di Attività Malevole: Monitorare email sospette e tentativi di exploit, in particolare provenienti da fonti note come l’indirizzo IP
79.124.49[.]86.