Zimbraの重大なRCE脆弱性、大規模悪用が進行中（CVE-2024-45519）

Zimbraの重大なRCE脆弱性、大規模悪用が進行中（CVE-2024-45519）

Help Net Security – October 2, 2024

Proofpointの脅威研究者によると、脆弱なインストール環境で任意のコマンドを実行できるZimbraの深刻な脆弱性が現在進行形で悪用されているという。攻撃は、PoCエクスプロイトが公開された日の翌日にあたる先月28日から観測されている。

当該欠陥CVE-2024-45519はOSコマンドインジェクションの脆弱性で、ポストジャーナルバイナリのpopen関数に渡されるユーザーの入力値がサニタイズされないことで生じる。この欠陥を悪用すると、攻撃者は任意のコマンドを注入することができる。同脆弱性は9月初旬に修正されており、その後27日には、ProjectDiscoveryのアナリストがこの脆弱性に関する技術的詳細とPoCエクスプロイトを公開していた。

Proofpointによると、攻撃者は特別に細工したメールを送信し、Webシェルをインストールしようとしているという。これによりコマンドの実行や、ソケット接続を介したファイルのダウンロードおよび実行が可能になる。また、攻撃者は細工されたメールの送信や第2段階のペイロードのホスティングに同じサーバーを使用しているようだが、その理由はわかっていないとのこと。

Proofpointが報告を行った時点でこの活動の首謀者は特定されていないが、Zimbraは企業だけでなく政府機関でも使用されていることから、同ツールのゼロデイ脆弱性やNデイ脆弱性は通常、国家支援型のハッカーグループに悪用されることが多い。しかしランサムウェアグループが悪用するケースもある。

最新のパッチをまだ適用していない組織は、直ちにこれに対処することが推奨される。

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠