Zimbra, la popular plataforma de colaboración y correo electrónico, ha publicado una actualización de seguridad crítica para corregir una vulnerabilidad crítica en su servicio de envío de revistas. La falla, identificada como CVE-2024-45519, permite a atacantes no autenticados ejecutar comandos arbitrarios en las instalaciones de Zimbra afectadas.
Esta vulnerabilidad fue descubierta en el servicio PostJournal de Zimbra. Un atacante podría aprovechar esto para ejecutar comandos arbitrarios sin autenticación, creando un riesgo significativo para la seguridad e integridad de los sistemas que utilizan la plataforma.
El parche de seguridad estaba alojado en el depósito S3 s3(:)repo.zimbra.com de Zimbra y era de acceso público. Los investigadores obtuvieron una versión parcheada del binario posterior al diario del último paquete de parches de Zimbra.
En lugar de ejecutar una diferencia binaria, usamos Ghidra para invertir el binario e identificar funciones importantes como run_command.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
En la versión parcheada, la función execvp se utiliza con la entrada del usuario pasada como una matriz para evitar la inyección directa de comandos. La función is_safe_input se introdujo para desinfectar la entrada y bloquear caracteres especiales que podrían provocar la inyección de comandos.
Los investigadores analizaron una versión sin parches del software y descubrieron que Popen se usaba dentro de la función read_maps sin desinfección de entrada, lo que permitía la inyección de comandos. Al configurar un servidor de prueba, demostraron cómo los mensajes SMTP pueden aprovechar esta vulnerabilidad.
prueba de concepto
Se desarrolló una prueba de concepto utilizando un comando SMTP específico para ejecutar un comando arbitrario en el servicio PostJournal que se ejecuta en el puerto 10027. Inicialmente, el exploit tuvo éxito internamente, pero encontró desafíos cuando se intentó de forma remota debido a la configuración predeterminada.
Los investigadores probaron el exploit directamente en el servicio PostJournal a través del puerto 10027 usando el siguiente comando SMTP:
Se recomienda encarecidamente a los usuarios de Zimbra que apliquen los últimos parches de seguridad de inmediato para proteger sus sistemas de posibles vulnerabilidades. Esta actualización reduce el riesgo al garantizar una desinfección adecuada de las entradas y evitar la ejecución de comandos no autorizados.
Habilitación de servicios posteriores a la revista
Tras investigar más a fondo, descubrí que el servicio de envío de revistas está deshabilitado de forma predeterminada. Para habilitar esto, se ejecutó el siguiente comando:
bashzmlocalconfig -e postjournal_enabled=true
Reiniciar zmcontrol
Con el servicio post-diario habilitado, los investigadores volvieron a ejecutar el exploit en el puerto SMTP 25 y observaron la ejecución exitosa del comando.
Para obtener más información sobre esta vulnerabilidad y el parche, consulte el aviso de seguridad oficial de Zimbra.
La plantilla Nuclei para CVE-2024-45519 se desarrolló para ayudar a identificar sistemas vulnerables. Esta plantilla puede detectar instancias de vulnerabilidades simulando ataques basados en SMTP.
Esta actualización crítica enfatiza la importancia de aplicar parches oportunos y monitorear cuidadosamente el sistema. Los usuarios deben actualizar sus instalaciones de Zimbra para evitar posibles violaciones de seguridad y mantener la integridad del sistema.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Zimbra Remote Command Execution Vulnerability (CVE-2024-45519) – Exploit POC Released
