Luca Galuppi : 2 Ottobre 2024 16:29
E’ recente la notizia della scoperta di una nuova vulnerabilità critica nel sistema di posta Zimbra, famosa piattaforma di posta elettronica.
La vulnerabilità identificata come CVE-2024-45519, può portare alla completa compromissione del server. La patch è stata distribuita a inizio settembre 2024, ma è stato avvertito uno sfruttamento massivo a partire dalla fine di settembre. Gli amministratori di Zimbra devono agire rapidamente per correggere i loro sistemi per prevenire lo sfruttamento.
La vulnerabilità critica di esecuzione di codice remoto (RCE) è stata identificata nel servizio “postjournal” di Zimbra, che gestisce l’elaborazione dei messaggi SMTP. Il bug consente a un utente malintenzionato remoto non autenticato di eseguire comandi arbitrari su un sistema vulnerabile e di assumerne il pieno controllo. Uno sfruttamento efficace può portare ad accessi non autorizzati, escalation di privilegi e potenziale compromissione dell’integrità e della riservatezza del sistema.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Al momento, il CVE non è stato aggiunto al National Vulnerability Database (NVD) e il suo punteggio CVSS deve ancora essere determinato, ma il livello di rischio è chiaramente significativo. Una volta che un aggressore ottiene il controllo, può rubare dati sensibili e muoversi lateralmente attraverso la rete.
Aggrava ulteriormente la situzione, la recente disponibilità di un exploit proof-of-concept (PoC) pubblico disponibile su GitHub.
La problematica è stata risolta da Zimbra nelle versioni 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 e 10.1.1 rilasciate il 4 settembre 2024.
Sebbene la funzionalità postjournal possa essere facoltativa o non abilitata sulla maggior parte dei sistemi, è comunque raccomandato applicare la patch fornita per prevenire potenziali exploit. Per i sistemi Zimbra in cui la funzionalità postjournal non è abilitata e la patch non può essere applicata immediatamente, la rimozione del binario postjournal potrebbe essere considerata una misura temporanea fino a quando la patch non può essere applicata.
In conclusione è altissimo il rischio che un utente malintenzionato remoto non autenticato possa compromettere completamente il server per rubare informazioni riservate, installare ransomware o effettuare movimenti laterali.
Si consiglia alle organizzazioni che non hanno implementato l’ultima patch di farlo immediatamente per prevenire potenziali compromissioni.
Luca Galuppi
