Malicious email

ハッカーは、最近公開されたZimbra電子メールサーバーのRCE脆弱性を積極的に悪用している。この脆弱性は、特別に細工された電子メールをSMTPサーバーに送信するだけで誘発される。

Zimbraのリモートコード実行の欠陥は、CVE-2024-45519として追跡されており、SMTP経由で受信した電子メールを解析するために使用されるZimbraのpostjournalサービスに存在する。攻撃者は、CCフィールドに実行するコマンドを含む特別に細工された電子メールを送信することで、この脆弱性を悪用することができ、このコマンドは、postjournalサービスが電子メールを処理する際に実行される。

この悪質な行為は、HarfangLabの脅威研究者であるIvan Kwiatkowski氏によって最初に報告され、同氏はこれを「大量搾取」と位置づけ、その後Proofpointの専門家によっても確認された

Tweet

Proofpoint社によると、Project Discoveryの研究者が概念実証のエクスプロイトを公開した翌日の9月28日に、この悪質な活動を検知したという。

研究者は、攻撃者はGmailを偽装し、偽の電子メールアドレスと悪意のあるコードを電子メールの「CC」フィールドに含む電子メールを送信していると警告している。適切に作成された場合、ZimbraメールサーバーはCCフィールド内のコマンドを解析し、サーバー上で実行する。

CC section filled with bogus addresses
偽のアドレスで埋め尽くされた CC セクション
Source:プルーフポイント

具体的には、メールには ‘sh’ シェル経由で実行され、Zimbra サーバー上にウェブシェルを構築してドロップする、base64 エンコードされた文字列が含まれています。

The base64-encoded command
base64 エンコードされたコマンド
Source:Proofpoint:Proofpoint

ウェブシェルがインストールされると、特定の JSESSIONID Cookie フィールドを含む受信接続をリッスンします。正しいクッキーが検出されると、ウェブシェルは実行するための base64 エンコードされたコマンドを含む別のクッキー(JACTION)を解析します。ウェブシェルは侵害されたサーバ上のファイルのダウンロードと実行もサポートします。

Webshell on the Zimbra server
Zimbra サーバ上のウェブシェル
Source:Proofpoint

ウェブシェルがインストールされると、侵害された Zimbra サーバーにフルアクセスできるようになり、データの窃取や内部ネットワークへのさらなる拡散が可能になります。

エクスプロイトとパッチ

ProjectDiscoveryの研究者は先週、CVE-2024-45519に関する技術的な記述を発表しており、その中には、現在野放しになっているものと一致する概念実証(PoC)エクスプロイトも含まれています。

研究者はZimbraのパッチをリバースエンジニアリングし、ユーザー入力を受け取る「popen」関数が、入力サニタイズ機構を特徴とする「execvp」という新しい関数に置き換えられていることを発見した。

この関数は、入力サニタイズ機構を備えている。後方から作業を進めると、ポート10027でZimbraのpostjournalサービスにSMTPコマンドを送信することが可能であり、その結果、任意のコマンドが実行されることを発見した。このエクスプロイトは、「すぐに使える」PythonスクリプトとしてGitHubで公開されている。

研究者らは、利用可能なセキュリティアップデートを適用する以外に、システム管理者が業務に必要ない場合は「postjournal」をオフにし、不正アクセスを防ぐために「mynetworks」が正しく設定されていることを確認するよう提案している。

Zimbraのセキュリティ情報によると、CVE-2024-45519はバージョン9.0.0パッチ41以降、バージョン10.0.9および10.1.1、Zimbra 8.8.15パッチ46以降で解決されている。

この脆弱性の悪用が活発であることから、影響を受けるユーザは、できるだけ早く新しいバージョンに移行するか、少なくとも上記の緩和策を適用することが強く推奨される。