Хакеры атакуют почтовые серверы Zimbra через уязвимость в обработке писем

Хакеры нашли способ взломать почтовые серверы Zimbra. Они используют уязвимость в системе, которая срабатывает, когда сервер получает специально подготовленное письмо. Это позволяет злоумышленникам выполнять свои команды на сервере.

Проблема кроется в службе postjournal, которая анализирует входящие сообщения. Если в поле "CC" письма находится код, закодированный в base-64, сервер выполняет его. Таким образом, хакеры могут установить на сервере веб-оболочку, которая дает им полный контроль над системой.

Исследователи из HarfangLab и Proofpoint уже подтвердили активное использование этой уязвимости. Злоумышленники отправляют письма, которые маскируются под сообщения от известных сервисов, например, Gmail.

После установки веб-оболочки хакеры могут управлять сервером, красть данные или распространять вирусы по сети компании.

На прошлой неделе специалисты ProjectDiscovery опубликовали подробное описание уязвимости и предложили способы ее исправления. Зимбра уже выпустила обновления, которые устраняют эту уязвимость в последних версиях своего программного обеспечения.

Владельцам серверов советуют немедленно обновиться до последних версий Zimbra или отключить службу postjournal, если она не используется.