【安全资讯】Zimbra邮件服务器遭攻击：CISA警示CVE-2024-45519漏洞被积极利用

概要：

美国网络安全与基础设施安全局（CISA）将Zimbra邮件服务器的关键漏洞CVE-2024-45519列入已知被利用漏洞目录。这一远程代码执行（RCE）漏洞在政府和关键基础设施领域引发警报，攻击者正在积极利用该漏洞，可能导致数据泄露、系统妥协或未授权访问等严重后果。

主要内容：

CVE-2024-45519漏洞影响Zimbra邮件服务器的重要组件postjournal服务，负责处理通过简单邮件传输协议（SMTP）接收的邮件。攻击者可以通过发送特制的电子邮件进行系统攻击，具体方法是将恶意指令嵌入邮件的CC字段，导致在易受攻击的服务器上执行任意命令。这一缺陷特别令人担忧，因为它通过电子邮件结构中看似无害的部分绕过了传统安全措施。已经有报告指出，攻击者正在武器化这一漏洞，影响范围包括政府和关键基础设施领域。安全研究机构ProjectDiscovery提供的技术分析揭示，Zimbra的修复措施包括封堵popen函数漏洞，通过替换为execvp函数并引入输入清理机制来阻止恶意指令。研究还表明，攻击者可以直接向10027端口发送SMTP命令，触发未修补系统的任意命令执行。安全专家Ivan Kwiatkowski首次发现这一漏洞的广泛恶意活动，随后Proofpoint的专家确认了这些攻击。CISA于2024年9月28日发布强烈警告，联邦缓解期限设定在2024年10月24日之前，敦促相关机构及时应用补丁或停止使用postjournal服务。Zimbra已在不同版本中修复了这一漏洞，并建议系统管理员立即应用这些更新。同时，建议禁用非必要的postjournal服务，并正确配置‘mynetworks’设置以阻止未授权访问。