Zimbra 邮件服务器遭遇活跃攻击

关键要点

Zimbra 邮件服务器应用程序当前受到攻击，黑客利用 CVE202445519 漏洞进行远程代码执行。攻击通过伪造的电子邮件发送恶意代码，用户一旦打开邮件，攻击便会启动。攻击不需要身份验证，任何可以访问网络的人都能利用该漏洞控制 Zimbra 服务器。安全专家建议管理员更新 Zimbra 服务器，并提醒用户保持良好的网络安全习惯。

最近，研究人员发现了对 Zimbra 邮件服务器应用程序的活跃攻击。根据 ProofPoint 的团队 的报告，攻击者正在发送夹带代码的垃圾邮件，意图利用被称为 CVE202445519 的漏洞。

一元机场clash

在实际攻击中，用户所收到的邮件看起来与常见的垃圾邮件无异。一旦用户打开信息，自动化脚本将尝试对托管客户端的 Zimbra 服务器 进行攻击。

如果攻击顺利，黑客将能在目标服务器上实现远程代码执行。这意味着攻击者将获得对系统的完全控制，而管理员将面临严重的后果。

“这些伪造的 Gmail 邮件发送至 CC 字段中的虚假地址，试图使 Zimbra 服务器将其解析并执行为命令。”ProofPoint 在 ThreatPost 中表示。

“这些地址中包含 base64 字符串，利用 sh 工具执行。”

该漏洞的根源在于 Zimbra 软件处理 Postjournal SMTP 请求的方式存在错误。当向服务器发送格式不正确的信息时，请求可以不经过任何筛选，基本上让攻击者得以向目标服务器发送任意命令。

“该漏洞特别危险的原因在于，它不需要身份验证，” SOCRadar 团队表示。

“任何能够访问正在运行 postjournal 服务的网络的人都可以利用该漏洞，从而完全控制 Zimbra 服务器。”

不幸的是，似乎在恶意攻击者得知这一问题之前，厂商无法及时发布补丁。

“Twitter 上出现了关于活跃利用的报道，安全研究人员指出了针对易受攻击的 Zimbra 服务器的广泛攻击，”SOCRadar 指出。

因此，管理员被建议将他们的 Zimbra 服务器升级到最新版本。最终用户应保持最佳实践，比如不打开不请自来的邮件，并避免点击可疑信息中的链接。