Patchez Zimbra : cette faille de sécurité est utilisée pour déployer une porte dérobée !
Une faille de sécurité présente dans un composant de la solution de messagerie Zimbra est activement exploitée par les pirates : CVE-2024-45519. Un simple e-mail malveillant peut permettre d'exécuter du code à distance sur le serveur ! Faisons le point sur cette menace.
Depuis plusieurs jours, des cybercriminels exploitent la faille de sécurité critique associée à la référence CVE-2024-45519. Son score CVSS 3.1 de 9.8 sur 10, n'annonce rien de bon. Et pour cause, un attaquant situé à distance peut exécuter du code sur le serveur de messagerie grâce à un e-mail spécialement conçu. Le code malveillant doit être inclus dans le champ "CC" de l'e-mail, alors que ce champ sert habituellement à mettre des destinataires en copie d'un e-mail.
L'exécution de code aura lieu sur le serveur au moment où ce dernier va traiter l'e-mail. En effet, la vulnérabilité est présente dans le service postjournal de Zimbra, qui est utilisé pour analyser les courriels entrants via SMTP.
Selon le bulletin de sécurité de Zimbra, CVE-2024-45519 a été corrigé dans la version 9.0.0 Patch 41 ou ultérieure, les versions 10.0.9 et 10.1.1, et la version 8.8.15 Patch 46 ou ultérieure. Il est à noter que ces nouvelles versions corrigent aussi d'autres failles de sécurité, dont plusieurs faiblesses de type XSS.
CVE-2024-45519 - Une vulnérabilité massivement exploitée
Plusieurs chercheurs en sécurité, notamment de chez HarfangLab et Proofpoint, évoquent une exploitation massive de cette faille de sécurité. D'ailleurs, si vous effectuez des recherches sur le Web, vous tomberez rapidement sur des codes d'exploitation... La semaine dernière, les chercheurs de ProjectDiscovery ont publié un rapport technique et un exploit de PoC, qui correspond aux exploitations actuelles de cette vulnérabilité.
If you're using @Zimbra, mass-exploitation of CVE-2024-45519 has begun. Patch yesterday.
— Ivan Kwiatkowski (@JusticeRage) October 1, 2024
Malicious emails are coming from 79.124.49[.]86 and attempting to curl a file from that IP. pic.twitter.com/5CMAuabC1I
L'e-mail malveillant contient une commande spéciale, dans le champ CC, dont le but est de déployer une porte dérobée sous la forme d'un webshell sur le serveur de messagerie Zimbra. Ensuite, il reste en attente et à l'écoute d'autres commandes à exécuter. Il est aussi capable de télécharger ou d'envoyer des fichiers. Pour communiquer avec le webshell, les pirates doivent envoyer une requête avec un ID de cookie spécifique (champ JSESSIONID).
La vulnérabilité serait exploitée au moins depuis le 28 septembre 2024.
Des milliers de serveurs potentiellement vulnérables
D'après les informations publiées par The Shadowserver Foundation, il y aurait plusieurs milliers de serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité. Cette page met en évidence le nombre de serveurs Zimbra par pays.
En France, il y aurait au moins 1 000 serveurs Zimbra exposés sur Internet : combien sont-ils protégés de cette vulnérabilité ? Bonne question.
Si ce n'est pas déjà fait, patchez votre serveur Zimbra dès que possible...
