Zespół CERT Polska, działający w ramach NASK – Państwowego Instytutu Badawczego, od paru dni rozpoczął wysyłanie do użytkowników, którzy używają Zimbry jako serwera pocztowego, wiadomości z ostrzeżeniem o podatności CVE-2024-45519.
Treść wiadomości wysyłanej przez CERT Polska prezentuje się następująco:
Szanowni Państwo,
Jesteśmy zespołem reagowania na incydenty bezpieczeństwa informatycznego CERT Polska w NASK - Państwowym Instytucie Badawczym. Pełnimy rolę zespołu CSIRT NASK zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa.
Wiadomość ta przeznaczona jest dla osoby odpowiedzialnej za bezpieczeństwo informatyczne w Państwa organizacji. Jeśli nie są Państwo odpowiednimi adresatami, prosimy o poinformowanie nas o tym oraz przekaazanie niniejszej wiadomości do odpowiednich osób.
Kontaktujemy się z Państwem z powodu nowej podatności odkrytej w oprogramowaniu Zimbra. Podatność została oznaczona jako CVE-2024-45519 i pozwala nieuwierzytelnionym atakującym na zdalne wykonanie kodu. Dostępne są już skrypty wykorzystujące podatność, co znacznie zwiększa ryzyko ataku.
Według naszych informacji, pod poniższymi adresami IP znajdują się (lub niedawno znajdowały się) publicznie dostępne instancje Zimbra, które mogą być dotknięte powyższą podatnością: <adres_ip>
Zwracamy się z uprzejmą prośbą o weryfikację przekazanej informacji oraz niezwłoczną aktualizację oprogramowania zgodnie z zaleceniami producenta. Więcej informacji na temat zagrożenia można znaleźć na stronie producenta.
Jest to pierwsza tego typu masowa akcja informacyjna, którą została wysłana przez CERT bezpośrednio do użytkowników Zimbry w Polsce i faktycznie może wprowadzić duże zaniepokojenie u użytkowników tego systemu. Podatność ta dotyczy usługi postjournal i umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu na serwerach, na których jest uruchomiona. Jest to poważne zagrożenie, zwłaszcza w kontekście już dostępnych exploitów wykorzystujących tę lukę, co znacznie zwiększa ryzyko ataku.
Warto jednak uspokoić użytkowników, że usługa postjournal nie jest włączona domyślnie w standardowej instalacji Zimbry dlatego pewnie większość serwerów Zimbrowych nie jest zagrożona.
Niemniej jednak, producent zaleca zainstalowanie udostępnionej poprawki (ostatni patch o którym piszemy tutaj) gdyż łata ona również inne podatności, dodaje nowe fukcjonalności i naprawia błędy.
Regularne aktualizacje systemów oraz oprogramowania to najlepszy sposób na minimalizowanie ryzyka wystąpienia potencjalnych zagrożeń.