Zimbra Postjournal 취약점(CVE-2024-45519) 악용 공격 경고

Researchers Warn of Ongoing Attacks Exploiting Critical Zimbra Postjournal Flaw

Researchers Warn of Ongoing Attacks Exploiting Critical Zimbra Postjournal Flaw

 

Critical Zimbra Postjournal flaw CVE-2024-45519 actively exploited in the wild. Patch it now!

Critical Zimbra Postjournal flaw CVE-2024-45519 actively exploited in the wild. Patch it now!

 

Critical Zimbra RCE now mass-exploited, experts say

Critical Zimbra RCE now mass-exploited, experts say

 

• 개요
  • Zimbra Collaboration에서 발견된 중대한 보안 취약점(CVE-2024-45519)이 공격자들에 의해 악용되고 있음
  • 이 취약점은 Postjournal 서비스에서 발생하며, 인증되지 않은 공격자가 원격 코드 실행을 할 수 있도록 허용
  • 해당 취약점은 Zimbra 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, 10.1.1 버전에서 패치됨
• 공격 방식
  • 공격자는 Base64 문자열을 포함한 위조된 Gmail 이메일을 사용해 Zimbra 서버가 이를 명령으로 실행하도록 유도
  • CC 필드에 삽입된 문자열이 sh 유틸리티로 실행됨
  • 공격자는 Zimbra 서버에 웹 셸을 설치하고, 이를 통해 명령 실행 및 파일 다운로드와 같은 작업을 수행 가능
• 취약점 상세
  • 이 취약점은 msg_handler() 함수에서 불충분한 입력 검증으로 인해 발생하며, 이를 통해 명령 주입이 가능
  • SMTP 메시지에 특수하게 조작된 주소를 삽입하여 명령을 실행할 수 있음
  • 포트 10027에서 이 취약점이 악용될 가능성이 있음
• 보안 패치 및 조치
  • Zimbra 시스템 사용자들은 즉시 최신 패치를 적용해야 함
  • Postjournal 기능이 사용되지 않는 시스템의 경우, 해당 바이너리 제거가 임시 방안으로 권장됨
  • 미국 CISA는 CVE-2024-45519를 KEV 목록에 추가하였으며, 2024년 10월 24일까지 해당 취약점을 해결할 것을 권고
• 위협 평가
  • 공격은 2024년 9월 28일에 시작되었으며, Project Discovery가 취약점의 기술적 세부 사항과 PoC(개념 증명) 코드를 공개한 이후 공격이 확산됨
  • 웹 셸이 설치되면, 공격자는 Base64 명령을 통해 서버 제어 가능
  • 현재까지 이 공격에 대한 구체적인 위협 그룹은 식별되지 않았음
• 권고 사항
  • 즉시 패치 적용하여 보안 위협에 대비
  • 패치를 적용할 수 없는 경우, Postjournal 바이너리 제거 등 임시 조치 수행