Vulnerabilidad

Vulnerabilidad crítica en Zimbra

03/10/2024
Zimbra publicó recientemente una actualización de seguridad crítica que aborda una vulnerabilidad en el servicio postjournal. Esta vulnerabilidad, identificada como CVE-2024-45519 (CVSS:3.1=10.0), permite a los usuarios no autenticados ejecutar código arbitrario de forma remota (RCE) en las versiones de Zimbra afectadas.
Zimbra

Existen diversas pruebas de concepto públicas en internet y la vulnerabilidad está siendo explotada.

CVE-2024-45519 es una vulnerabilidad de inyección de comandos del sistema operativo en el servicio postjournal de la solución, que se utiliza para registrar comunicaciones por correo electrónico con fines de cumplimiento y/o archivado. La explotación de la falla es posible sin autenticación.

La vulnerabilidad se origina en la falta de sanitización de las entradas de usuario que se pasan a la función popen en la versión no parcheada del binario postjournal, que permite a quien ataca inyectar comandos arbitrarios.

Productos afectados

  • Zimbra Colaboration (versiones 8.8.15 Patch 46, 9.0.0 Patch 4, 10.0.9, 10.1.1).

Remediación

Es posible remediar las vulnerabilidades aplicando los parches del as últimas actualizaciones de seguridad proporcionadas por Zimbra.

Mitigación

Para mitigar las vulnerabilidad relacionadas debe:

  • Desactiva el postjournal si no es necesario.

  • Verificar que la configuración mynetworks de Zimbra sea correcta para evitar acceso.

Recomendaciones

Se insta actualizar a la última versión disponible y analizar trazas de auditoría en búsqueda de explotación.

Referencias

Wiki Zimbra

ProjectDiscovery Blog

NIST Nattional Vulnerability Database

Help Net Security

Etiquetas

Amenazas y alertas Gestión de ciberseguridad Comunidad Técnica