Vulnerabilidad Crítica de Ejecución Remota de Comandos en Zimbra.

Zimbra es una plataforma de colaboración que ofrece servicios de correo electrónico, calendario y administración de contactos. Recientemente, se ha descubierto una vulnerabilidad crítica que permite la ejecución remota de código (RCE) en los servidores de Zimbra, la cual está siendo activamente explotada por atacantes a través de correos electrónicos especialmente diseñados.

  • CVE-2024-45519: Esta vulnerabilidad se encuentra en el servicio PostJournal de Zimbra, que se utiliza para procesar correos electrónicos entrantes a través de SMTP. Los atacantes pueden explotar esta vulnerabilidad enviando correos electrónicos con comandos maliciosos en el campo «CC», los cuales son ejecutados cuando el servicio PostJournal procesa el correo. Este problema fue reportado inicialmente por el investigador de amenazas Ivan Kwiatkowski de HarfangLab, quien lo caracterizó como un «explotación masiva».

Una explotación exitosa puede llevar al atacante obtener acceso no autorizado, escalar de privilegios y comprometer la integridad y confidencialidad del sistema afectado. Para explotar esta vulnerabilidad, los atacantes pueden aprovechar ciertos patrones detectables mediante búsquedas automatizadas como Shodan. Se han desarrollado pruebas de concepto (PoC) y scripts para facilitar la explotación de esta vulnerabilidad.

Productos y versiones afectadas:

  • Zimbra versiones anteriores a 9.0.0 Patch 41, 10.0.9, 10.1.1, y 8.8.15 Patch 46.

Solución:

Actualizar Zimbra Collaboration a una de las siguientes versiones corregidas:

  • Versión 8.8.15 Parche 46 o superior.
  • Versión 9.0.0 Parche 41 o superior.
  • Versión 10.0.9
  • Versión 10.1.1    

Recomendaciones:

  • Aplicar lo antes posible las actualizaciones de seguridad proporcionadas por el fabricante para mitigar los riesgos potenciales.
  • Monitorear los registros de Postfix y PostJournal para detectar posibles intentos de explotación.
  • Implementar medidas adicionales de control de acceso y autenticación en el servicio afectado.

Referencias: