CVE-2024-45519 es una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio postjournal de Zimbra, que actualmente se encuentra bajo ataque activo. Se recomienda encarecidamente a los usuarios que actualicen sus sistemas de inmediato, ya que una prueba de concepto (PoC) ha demostrado que la vulnerabilidad puede ser explotada a través de correos electrónicos especialmente diseñados. Los sensores de Cyble han detectado más de 90.000 instancias de Zimbra expuestas en internet con vulnerabilidades anteriores sin corregir, lo que hace fundamental una intervención rápida por parte de todos los clientes de Zimbra.
| Producto | Zimbra imapd |
| Fecha | 2024-10-02 13:55:44 |
| Información |
|
Resumen técnico
Se ha identificado una vulnerabilidad crítica de ejecución remota de código en las versiones de Zimbra Collaboration Suite. Este fallo es actualmente objeto de explotación activa, lo que permite a los atacantes obtener acceso no autorizado, ejecutar comandos arbitrarios y potencialmente escalar privilegios. Una explotación exitosa podría comprometer la integridad y la confidencialidad de los sistemas afectados, permitiendo el control total del entorno objetivo.
Recomendaciones
Parche inmediato: Los administradores de Zimbra deben actualizar a las versiones corregidas que añaden una sanitización de entrada y sustituyen
popenporexecvppara mitigar la vulnerabilidad de inyección directa de comandos. Las versiones parcheadas incluyen: – 9.0.0 Patch 41 – 10.0.9 – 10.1.1 – 8.8.15 Patch 46Verificación de la configuración: Los administradores deben verificar la configuración del parámetro
mynetworkspara impedir la explotación externa de la vulnerabilidad.Monitoreo de actividad maliciosa: Monitorear correos electrónicos sospechosos e intentos de explotación, en particular los provenientes de fuentes conocidas como la dirección IP
79.124.49[.]86.
[Callforaction-THREAT-Footer]