Vulnerabilidade CVE-2024-45519 em Servidores Zimbra: Riscos e Recomendações

A vulnerabilidade CVE-2024-45519 foi recentemente identificada em servidores de e-mail Zimbra, representando um risco significativo para organizações de médio e grande porte que utilizam esta plataforma. Esta vulnerabilidade, classificada como de execução remota de código (RCE - Remote Code Execution), pode permitir que invasores comprometam servidores Zimbra quando certas configurações estão ativas. Este artigo detalha os aspectos dessa falha, os riscos associados e as recomendações para mitigar os impactos.

Descrição da Vulnerabilidade

A CVE-2024-45519 está presente em servidores Zimbra e pode ser explorada em ambientes onde o serviço "postjournal" foi manualmente ativado pelos administradores. A exploração ocorre quando invasores conseguem enviar e-mails maliciosos que, ao serem processados pelo servidor, permitem a execução de comandos no sistema.

A vulnerabilidade foi amplamente discutida em fóruns de segurança, após relatos de ataques massivos. Em um dos cenários descritos, os invasores usaram o endereço IP 79.124[.]49.86 para enviar e-mails com links que tentam executar scripts maliciosos por meio da ferramenta curl. Apesar de o payload não ser diretamente entregue via SMTP, pesquisadores da Proofpoint afirmaram que a vulnerabilidade pode ser usada para implantar webshells em servidores Zimbra comprometidos, permitindo o acesso persistente dos invasores(CVE-2024-45519 em servi…).

Quantidade de Servidores Afetados

Uma pesquisa conduzida pela ISH Tecnologia identificou que mais de 250 mil servidores Zimbra estão atualmente em uso em todo o mundo, com cerca de 19 mil localizados no Brasil(CVE-2024-45519 em servi…). Este número expressivo reforça a importância de agir rapidamente para mitigar os riscos, dado o potencial de exploração em larga escala desta vulnerabilidade.

Mecanismos de Ataque

Em alguns dos ataques relatados, os invasores enviaram e-mails maliciosos que, ao serem processados, tentavam instalar backdoors baseados em webshells. Esses webshells podem ser usados para manter controle sobre os servidores e permitir a execução de comandos remotamente, comprometendo a integridade e confidencialidade dos dados armazenados.

Um dos métodos empregados foi o uso de e-mails maliciosos que incluíam múltiplos endereços no campo “CC”, codificados em Base64. Ao serem decodificados, esses dados criavam um webshell no seguinte caminho do servidor Zimbra:/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.

Este tipo de exploração pode abrir as portas para ataques mais graves, como a instalação de ransomware ou a espionagem cibernética.

Recomendações de Mitigação

Para mitigar os riscos associados à vulnerabilidade CVE-2024-45519, a Zimbra publicou uma série de atualizações de segurança. É essencial que as organizações realizem as seguintes ações:

Atualizar o Zimbra: A Zimbra lançou patches de correção para as versões vulneráveis. Administradores de sistemas devem garantir que seus servidores estejam atualizados para as versões corrigidas:
- Zimbra 9.0.0 Patch 41
- Zimbra 10.0.9
- Zimbra 10.1.1
- Zimbra 8.8.15 Patch 46(CVE-2024-45519 em servi…).
Monitoramento de Indicadores de Comprometimento (IoCs): Um dos principais indicadores de comprometimento associados a esta vulnerabilidade é o endereço de IP 79.124[.]49.86, que foi identificado como origem de ataques. É fundamental que este e outros IoCs sejam monitorados e bloqueados em sistemas de firewall e ferramentas de monitoramento de rede.
Desativar Configurações Inseguras: Se o serviço "postjournal" estiver ativado, considere desativá-lo ou configurá-lo adequadamente até que os patches de correção sejam aplicados, minimizando as possibilidades de exploração.

Considerações Finais

A vulnerabilidade CVE-2024-45519 representa uma ameaça grave, mas os riscos podem ser mitigados com ações rápidas e preventivas. Com a atualização adequada dos servidores Zimbra e o monitoramento contínuo de atividades suspeitas, as organizações podem proteger seus sistemas contra essa e outras possíveis explorações. Manter boas práticas de segurança, como a segmentação de redes e o uso de firewalls, também pode limitar a superfície de ataque e reduzir o impacto em caso de comprometimento.