Une vulnérabilité critique impactant la suite de logiciels libres Zimbra identifiée par la référence CVE-2024-45519, vient de voir le jour. Elle obtient un score CVSS v3.1 de 9,8.
Il convient de porter une attention particulière à cette vulnérabilité, car des preuves de concept sont disponibles publiquement.
Le vecteur initial de la vulnérabilité Zimbra
La vulnérabilité permet à un attaquant non-authentifié de déclencher une exécution arbitraire de code sur le serveur Zimbra.
Les détails techniques de la vulnérabilité Zimbra
Le service postjournal n’opère pas assez de vérifications de sécurité sur le format des données qu’il reçoit avant de les faire interpréter par la fonction execvp. L’attaquant peut ainsi utiliser le champ contenant initialement l’adresse du destinataire pour transmettre des commandes à exécuter sur le serveur de réception.
Toutefois il est à noter que le service postjournal n’est pas activé dans une configuration par défaut.
La modélisation de l'attaque avec MITRE ATT&CK
MITRE ATT&CK
- T1190 (Exploit Public-Facing Application)
Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Zimbra
Protection face à la CVE-2024-45519
Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2024-45519 via la signature :
- smtp:client.18 : Exploitation d'une vulnérabilité de type exécution de code à distance dans Zimbra (CVE-2024-45519)
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face à la vulnérabilité Zimbra
Il est ainsi fortement recommandé de mettre à jour la suite logiciel Zimbra, vers une des versions suivantes :
- 8.15 patch 46
- 0.0 patch 41
- 0.9
- 1.1
