【安全资讯】关键Zimbra RCE漏洞通过电子邮件植入后门服务器

概要：

最近，黑客利用Zimbra邮件服务器中一个新的远程代码执行漏洞（CVE-2024-45519），该漏洞通过发送特制的电子邮件即可触发。安全专家警告，利用此漏洞可能会导致重大数据泄露和安全风险。

主要内容：

黑客正在积极利用Zimbra邮件服务器中新披露的远程代码执行（RCE）漏洞，该漏洞通过发送特制的电子邮件到SMTP服务器即可触发。该漏洞被追踪为CVE-2024-45519，存在于Zimbra的postjournal服务中，这一服务用于解析通过SMTP接收的电子邮件。攻击者可以通过在“CC”字段发送特制命令，从而在postjournal服务处理邮件时执行这些命令。

最先报告这一恶意活动的是HarfangLab的威胁研究员Ivan Kwiatkowski，他将其形容为“大规模利用”，随后Proofpoint专家也证实了该活动。研究表明攻击者发送伪造Gmail邮件，包含虚假地址和在“CC”字段中的恶意代码，这些代码会在Zimbra邮件服务器上被解析并执行。具体而言，这些邮件包含Base-64编码的字符串，通过'sh' shell执行，从而在Zimbra服务器上建立和部署一个Webshell。

一旦Webshell被安装后，它会监听包含特定JSESSIONID cookie字段的传入连接。如果检测到正确的cookie，Webshell会解析另一个cookie（JACTION），其中包含Base-64编码的命令以执行进一步的攻击。该Webshell还支持下载和执行文件，从而使得攻击者可以获得受感染Zimbra服务器的完全访问权限，以进行数据窃取或进一步扩散到内部网络。

上周，ProjectDiscovery研究人员发布了CVE-2024-45519的技术写作，包括一个Proof-of-Concept（PoC）利用。这些研究人员通过反向工程发现Zimbra的补丁已将接收用户输入的'popen'函数替换为一个新的具有输入清理机制的'execvp'函数。研究人员建议系统管理员除了应用可用的安全更新外，还应关闭'postjournal'服务，并确保'mynetworks'正确配置以防止未经授权的访问。Zimbra安全公告提到，该漏洞已在不同版本中得到修复，并强烈建议受影响用户尽快更新至新版本。