Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se conoce de intentos de explotación de la vulnerabilidad crítica CVE-2024-45519, con una puntuación CVSS v3 de 9.8, en el servicio postjournal de Zimbra. Esta vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios en los sistemas afectados. Los ataques se están llevando a cabo a través de correos electrónicos que suplantan direcciones de Gmail, donde las direcciones en el campo CC contienen cadenas codificadas en Base64 que se ejecutan como comandos en los servidores Zimbra vulnerables.
La explotación de esta vulnerabilidad podría permitir a los atacantes obtener control total sobre el servidor Zimbra, robar datos confidenciales y moverse lateralmente en la red. Además, al no requerir autenticación, el nivel de riesgo asociado a esta vulnerabilidad se incrementa significativamente.
Recursos afectados
- Zimbra 8.8.15 hasta el parche 45
- Zimbra 9.0.0 hasta el parche 40
- Zimbra 10.0.9
- Zimbra 10.1.1
Solución/Mitigación
Actualizar Zimbra
- Zimbra 8.8.15: actualizar al parche 46 o superior.
- Zimbra 9.0.0: actualizar al parche 41 o superior.
- Zimbra 10.0.9: actualizar al parche 1 o superior.
- Zimbra 10.1.1: actualizar a la versión más reciente disponible.
Recomendaciones
- Aplicar parches de actualización para Zimbra.
- Deshabilitar postjournal si no es necesario, se sugiere deshabilitarlo para reducir la superficie de ataque.
- Verificar configuraciones de red para restringir el acceso únicamente a direcciones IP de confianza.
- Integrar detección: Utilice la plantilla Nuclei publicada por ProjectDiscovery para detectar esta vulnerabilidad en sus sistemas.