One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8590707 |
| Date de publication | 2024-10-02 20:01:11 (vue: 2024-10-02 20:18:09) |
| Titre | Zimbra RCE Vuln Under Attack Needs Immediate Patching |
| Texte | ## Instantané Les chercheurs de ProofPoint ont identifié l'exploitation active d'une vulnérabilité d'exécution de code à distance sévère dans le serveur SMTP de Zimbra \\, suivi comme [CVE-2024-45519] (https://cve.mitre.org/cgi-bin/cvename.cgi.? name = CVE-2024-45519).La vulnérabilité, qui existe dans le composant de service Zimbra Postjournal utilisé pour la journalisation et l'archivage par e-mail, permet aux attaquants distants non authentifiés d'exécuter des commandes arbitraires et potentiellement de prendre le contrôle des systèmes affectés. ## Description À partir du 28 septembre, des chercheurs de preuve Point ont observé que les attaquants envoyaient des e-mails usurpés aux serveurs vulnérables Zimbra.Les e-mails, qui semblent provenir de Gmail, ont un code malveillant codé de base64 dans le champ CC.Ce code est conçu pour s'exécuter sous forme de commandes de shell sur les serveurs Zimbra vulnérables.L'analyse de Proofpoint \\ a révélé que les e-mails malveillants proviennent d'un serveur en Bulgarie et que le même serveur est utilisé pour envoyer des e-mails d'exploitation et l'hébergement de la charge utile de deuxième étape.Cela suggère une opération relativement non sophistiquée. Le volume d'attaques a été cohérent depuis leur début et semble être opportuniste plutôt que ciblé.La vulnérabilité a été initialement identifiée par Project Discovery, qui a publié une preuve de concept et a noté que le problème découle d'un incapacité à désinfecter correctement la saisie des utilisateurs.Zimbra a publié des mises à jour pour la vulnérabilité mais n'a pas divulgué les détails de la faille.La popularité de la suite de collaboration Zimbra, utilisée par des milliers d'entreprises et des millions d'utilisateurs, en fait une cible importante pour les attaquants, comme en témoignent les exploits précédents par des acteurs chinois APT et le groupe de Lazarus de la Corée du Nord. ## Analyse Microsoft La suite de collection Zimbra est utilisée par des milliers d'entreprises et des millions d'utilisateurs, ce qui en fait une cible significative pour les attaquants.Microsoft a observé des acteurs tels que [Midnight Blizzard] (https://sip.security.microsoft.com/intel-profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616). titulaireity.microsoft.com/intel-profiles/19c1e80fc71ceb06a7b7cd8034e5b7b74e5c1775e4def24e9c7cf9b9b9fcf135), et Storm-1219] (https://sip. 80735988A5E5BE32EC07DB02D6CFA1A192753FB7545B099A04D0071), ciblant d'autres vulnérabilités de Zimbra, y compris [CVE-2019-9670] (https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-9670) et [CVE-2022-41352] (https://security.microsoft.com/vulnerabilities/Vulnérabilité / CVE-2022-41352 / Présentation? TID = F839B112-D9D7-4D27-9BF6-94542403F21C? OCID = Magicti_TA_TA2).AjoutAlly, en juillet 2024, [enregistré le groupe insikt de Future \\ a été rapporté] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747) sur le groupe de menaces TAG-100 exploitant [CVE-2019-9621] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2019-9621/) dans la suite de collaboration Zimbra pour cibler les organisations du gouvernement, intergouvernemental et des secteurs privé dans le monde. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365 |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 100 1219 2019 2022 2024 2024** 365/security/defender 41352 41352/overview 45519 4d27 94542403f21c 9621 9621/ 9670 9bf6 accessed active actors additionally affected age all allows analysis antivirus any appear appears apt arbitrary archiving are artifacts attack attacker attackers attacks base64 based been began beginning behind belarus bin/cvename blizzard block breach breaches/recent bulgaria but can card cgi check chinese circle cloud code collaboration collection com/cyberattacks com/intel com/microsoft com/vulnerabilities/vulnerability/cve commands companies component concept consistent content control copyright cover criterion cve d9d7 dark darkreading data defender delivered deployed deployment description designed details detect detected detection disclosed discovery distribution does edr email emails encoded endpoint endpoint/configure endpoint/edr endpoints equivalent even evidenced evolving executable execute execution exists exploit exploitation exploiting exploits explorer/articles/7df80747 explorer/cves/cve failure field files first flaw following from future globally gmail government group has have hosting https://cve https://learn https://security https://sip https://www identified immediate impact including initially input insikt intergovernmental issue issued is used journaling july korea lazarus learning list machine majority makes making malicious meet microsoft midnight millions mitigations mitre mode monitored name=cve needs network new non north not noted now observed ocid=magicti on operation opportunistic org/cgi organizations originate other part passive patch patching payload permission popularity post postjournal potentially prevalence previous private product profile profiles/19c1e80fc71ceb06a7b7cd8034e5b7b74e5c1775e4def24e9c7cf9b9b9fcf135 profiles/905fe5b1e80735988a5e5be32ec07db02d6cfa1a192753fb7545b099a04d0071 profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616 prohibited project proof proofpoint properly protection protections rapidly rather rce reading recommendations recommends recorded reduce references relatively released remediate remote reported reproduction researchers reserved response revealed rights running run same sanitize scenes second sector security sending september server servers service severe shell sight significant since site smtp snapshot spoofed stage status stemmed storm such suggests suite systems ta2 tag take target targeted targeting target high techniques than thereof thousands threat tid=f839b112 tools tracked trusted turn typhoon unauthenticated under unknown unless unsophisticated updates use used user users variants virtual volume vpn vuln vulnerabilities vulnerability vulnerable when which who without works written your zimbra and have in microsoft in so |
| Tags | Tool Vulnerability Threat Patching |
| Stories | APT 38 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.