Злоумышленники активно использовали критическую уязвимость (CVE-2024−45 519) в почтовых серверах Zimbra, что позволяло им выполнять «вредоносные команды» и «устанавливать бэкдор». Уязвимость затрагивает организации, использующие почтовый клиент и платформу для совместной работы Zimbra, и активируется, когда администраторы вручную включают службу postjournal. После этого атакующие могут отправить специально созданные письма для выполнения команд на сервере.
Исследователь безопасности Иван Квятковски первым сообщил о массовой эксплуатации, отметив, что вредоносные письма были отправлены с IP-адреса, который показывает на Болгарию (79.124.49.86) и использовали инструмент curl для загрузки и выполнения файлов. Компания Proofpoint подтвердила атаку, добавив, что некоторые письма использовали закодированные в base64 списки адресов в поле CC для установки бэкдора на уязвимых серверах.
Zimbra уже выпустила патч для уязвимости, и пользователям настоятельно рекомендуется немедленно его установить или, по крайней мере, отключить службу postjournal для снижения риска.
Источник новости: www.ferra.ru
