Atacatorii exploatează în mod activ o vulnerabilitate critică în serverele de e-mail vândute de Zimbra, în încercarea de a executa de la distanță comenzi rău intenționate care instalează o ușă în spate, avertizează cercetătorii.
Vulnerabilitatea, urmărită ca CVE-2024-45519, rezidă în serverul de e-mail și colaborare Zimbra utilizat de organizațiile mijlocii și mari. Când un administrator modifică manual setările implicite pentru a activa serviciul postjurnal, atacatorii pot executa comenzi trimițând e-mailuri formate rău intenționat la o adresă găzduită pe server. Zimbra recent a reparat vulnerabilitatea. Toți utilizatorii Zimbra ar trebui să îl instaleze sau, cel puțin, să se asigure că postjurnal este dezactivat.
Ușor, da, dar de încredere?
Marți, cercetătorul de securitate Ivan Kwiatkowski primul raportat atacurile în sălbăticie, pe care el le-a descris drept „exploatare în masă”. El a spus că e-mailurile rău intenționate au fost trimise de adresa IP 79.124.49[.]86 și, când a avut succes, a încercat să ruleze un fișier găzduit acolo folosind instrumentul cunoscut sub numele de curl. Cercetătorii de la firma de securitate Proofpoint au apelat la rețelele sociale mai târziu în acea zi pentru a confirma raportul.
Comentarii recente