Zimbra远程命令执行漏洞CVE-2024-45519安全预警
Zimpa Collaboration(ZCS)是一个用于电子邮件服务器的开源协作平台,是被广泛使用的云托管协作软件和电子邮件平台。
作为企业级开源电子邮件、日历和协作服务器,拥有电子邮件服务器和Web客户端组件(用于文档共享、聊天和视频会议)。
一、基本情况
ZCS 提供一整套开源协同办公套件包括WebMail、日历,通信录、Web文档管理和创作,能够提高工作效率和团队协作能力。
ZCS由Synacor开发,其最大特色在于采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox、Safari和IE浏览器。
近期,Zimpa Collaboration近期被发现存在一个严重漏洞,允许攻击者在目标系统执行任意命令,攻击者正积极利用该漏洞。
二、漏洞分析
Zimpa 被发现存在一个严重的远程命令执行漏洞,漏洞被标记CVE-2024-45519,目前技术细节及PoC/EXP在互联网上公开。
PFPT 公司安全人员表示,攻击始于2024年09月28日,Zimpa 开发人员几周前发布针对CVE-2024-45519和其他漏洞的补丁。
PFPT 安全人员监测到黑客通过发送特制电子邮件,试图安装一个 Webshell 便于执行命令或通过套接字连接下载和执行文件。
开源安全企业 ProjectDiscovery 的工程师后续发布了关于该漏洞的详细技术报告和PoC漏洞利用,以展示其潜在的安全风险。
其他研究人员随后不久也纷纷在 GitHub 上发布了 PoC,这个严重的Zimpa漏洞允许攻击者在易受攻击的系统执行任意命令。
ZCS多个受影响版本中,当启用postjournal服务的时候,由于传递给popen()的用户输入未经清理,导致其存在命令注入漏洞。
未经身份验证的攻击者可通过发送恶意请求在目标系统中执行命令,从而获取服务器权限,且无需身份验证即可利用此漏洞。
该漏洞源于未修补版本(postjournal 二进制文件)中未经清理的用户输入被传递给popen(函数),使得黑客注入任意命令。
postjournal 服务(和二进制文件)在 Zimpa Collaboration 系统中的,被用于记录电子邮件通信,从而实现合规性和/或存档。
Synacor 工程师发布的用于 CVE-2024-45519 修复版本引入输入清理并用execvp替换了popen ,从而减轻直接命令注入风险。
尽管在大多数系统中,postjournal 功能默认是处于可选的或者未启用状态,但仍然建议议应用官方的补丁来防止潜在的攻击。
对于未启用 postjournal 功能且无法立即应用补丁的Zimpa系统,则可以考虑删除 postjournal 二进制文件作为一种临时措施。
此外,用户还需要了解并正确配置 mynetworks 参数,这一措施同样非常重要,因为配置错误可能导致服务暴露于外部攻击。
三、漏洞影响
Zimpa Collaboration (ZCS) < 8.8.15 Patch 46
Zimpa Collaboration (ZCS) 9 < 9.0.0 Patch 41
Zimpa Collaboration (ZCS) 10 < 10.0.9
Zimpa Collaboration (ZCS) 10.1 < 10.1.1
四、修复建议
目前该漏洞已经修复,受影响用户需升级到以下版本:
Zimpa Collaboration (ZCS) >= 8.8.15 Patch 46
Zimpa Collaboration (ZCS) 9 >= 9.0.0 Patch 41
Zimpa Collaboration (ZCS) 10 >= 10.0.9
Zimpa Collaboration (ZCS) 10.1 >= 10.1.1
五、参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-45519