Zimbra RCE Vuln Under Attack Needs Immediate Patching
2024/10/02 DarkReading — 先日に Zimbra が公表したのは、同社の SMTP サーバに存在する深刻なリモート・コード実行の脆弱性が、攻撃者により積極的に標的されている問題である。影響を受ける組織は、脆弱なインスタンスに対して、直ちにパッチを適用する必要がある。この脆弱性 CVE-2024-45519 は、電子メールのジャーナリングとアーカイブを操作する、Zimbra の postjournal service コンポーネントに存在する。このバグにより、認証されていないリモートの攻撃者は、脆弱性のあるシステム上で任意のコマンドを実行し、そのシステムを制御することが可能になる。先週に Zimbra は、影響を受けるバージョンのアップデートをリリースしたが、今のところ、この脆弱性の詳細については公表していない。
攻撃開始は 9月28日
今週になって、Proofpoint の研究者たちが報告したのは、9月28日の時点から、この脆弱性を狙った攻撃が継続的に行われていることである。同社が、X への一連の投稿で説明しているのは、Gmail からのメールを装う偽装メールが、脆弱性のある Zimbra サーバに送信されている状況である。一連の偽装メールの CC 欄には、通常のメール・アドレスではなく、base64 エンコードされた悪意のコードが記載されている。このコードは、通常のメール・アドレスとしての処理を前提としたものではなく、Zimbra がシェルコマンドとして実行するように仕組まれている。この手法により攻撃者は、影響を受けた Zimbra サーバ上で、不正なコマンドを実行する可能性があると、Proofpoint は述べている。
Proofpoint は、「同じ送信者からの一部のメールには、脆弱な Zimbra サーバ上に Web シェルを構築するために、CC 欄にアドレスを連続して記載しているおのもある。CC の全リストは文字列としてラップされており、base64 のブロブを連結すると、Web シェルを書き込むコマンドにデコードされる」と説明している。
その Web シェルを操る攻撃者は、特別に細工した HTTP リクエストを介してサーバにリモート・アクセスし、ファイルの変更/機密データへのアクセスなどに加えて、任意のコマンド実行などを可能にする。
Proofpoint の主張は、この Web シェルを用いる攻撃者は、脆弱なシステムに悪意のコードをダウンロードして、実行できるというものだ。同社によると、「インストールされた Web シェルは、あらかじめ設定された JSESSIONID Cookie フィールドを用いて、着信接続を待ち受ける。そして、着信した場合には、Web シェルは JACTION Cookie を base64 コマンドとして解析する。この Web シェルは、exec によるコマンド実行や、ソケット接続を介したファイルのダウンロードと実行をサポートしている」と説明している。
直ちにパッチ適用を!
HarfangLab の脅威研究員である Ivan Kwiatkowski は、悪意のメールは “79.124.49[.]86” から送信されたと述べている。この IP アドレスから推測されるのは、ブルガリアに何らかの拠点が置かれているという状況だ。彼は、「Zimbra を使用しているなら、脆弱性 CVE-2024-45519 の大規模な悪用が始まっているので、直ちにパッチ適用すべきだ」とコメントしている。
注目すべきことは、エクスプロイト・メールの送信と、第2段階のペイロードのホスティングで、同じサーバが使用されていることだ。それが示唆するのはオペレーションの未熟さであると、Proofpoint の脅威研究者 Greg Lesnewich は指摘する。彼は、「つまり、エクスプロイト・メールの送信と、エクスプロイト成功後の感染処理を行うための分散型インフラを、この攻撃者が持っていないことを物語っている。より成熟したオペレーションであれば、メールサーバとペイロードサーバは、別々の存在になるはずだ」と述べている。
Lesnewich は、先週と同様のレベルの攻撃ボリュームが維持されており、標的を絞った攻撃というよりも、思いつきの性質であるように見えると指摘する。
入力のサニタイズに関するエラー
9月27日に、この脆弱性の PoC コードが、Project Discovery の研究者たちにより公開された。彼らの指摘は、ユーザー入力に対する不適切なサニタイズが原因となり、攻撃者による任意のコマンド注入が可能になったというものだ。
Project Discovery は、「すでに Zimbra は、修正版のソフトウェアをリリースし、この問題に対処している。それにより、コマンドをダイレクトに注入する機能が無効化されているため、管理者にとって重要なことは、最新パッチの速やかな適用となる。さらに、mynetworks パラメータを理解し、正しく設定することが不可欠である。なぜなら、ミスコンフィグにより、サービスが外部から悪用される可能性があるからだ」と指摘している。
何千もの企業と何百万人ものユーザーにより、電子メール/カレンダー/チャット/ビデオ・サービスに利用される Zimbra Collaboration Suite は、攻撃者にとって格好の標的となっている。たとえば、2023年に研究者たちが発見したのは、世界中の政府機関を標的として、Zimbra のゼロデイ脆弱性 CVE-2023-37580 を悪用する、中国由来の4つの APT グループである。そのときの Zimbra は、攻撃が始まった翌月に、上記の脆弱性を修正した。
また、2023年2月には W Labs の研究者が、パッチ未適用の Zimbra サーバを標的にして、ヘルスケア/エネルギーの分野から情報を盗もうとする、北朝鮮の Lazarus グループの活発な動きを捉えている。
CISA KEV: Synacor Zimbra Collaboration Command Execution Vulnerability
Zimbra の脆弱性 CVE-2024-45519 ですが、すでに攻撃が確認されているとのことです。また、PoC 公開され CISA KEV にも登録されています。CVSS 値は、NVD は 9.8 を、MITRE は 10.0 を付けています。ご利用のチームは、ご注意ください。よろしければ、Zimbra で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.