Zimbra, platform email dan kolaborasi yang populer, telah mengeluarkan pembaruan keamanan penting untuk menambal kerentanan yang parah pada layanan postjournal-nya. Diidentifikasi sebagai CVE-2024-45519, kelemahan ini memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi perintah sewenang-wenang pada instalasi Zimbra yang terpengaruh.
Kerentanan ini ditemukan di layanan post-journal Zimbra. Penyerang dapat mengeksploitasinya untuk menjalankan perintah sewenang-wenang tanpa otentikasi, yang menimbulkan risiko signifikan terhadap keamanan dan integritas sistem yang menggunakan platform tersebut.
Patch keamanan dihosting di bucket S3 Zimbra, s3(:)repo.zimbra.com, yang dapat diakses oleh publik. Para peneliti mendapatkan versi biner postjournal yang telah ditambal dari paket tambalan Zimbra terbaru.
Alih-alih melakukan binary diff, mereka membalikkan biner menggunakan Ghidra untuk mengidentifikasi fungsi-fungsi penting seperti run_command.
Dalam versi yang telah ditambal, fungsi execvp digunakan dengan input pengguna yang diteruskan sebagai array, mencegah injeksi perintah langsung. Fungsi is_safe_input diperkenalkan untuk membersihkan input dan memblokir karakter khusus yang dapat menyebabkan injeksi perintah.
Para peneliti menganalisis versi perangkat lunak yang belum ditambal dan menemukan bahwa perangkat lunak tersebut menggunakan popen dalam fungsi read_maps tanpa sanitasi input, yang memungkinkan terjadinya injeksi perintah. Dengan menyiapkan server uji, mereka mendemonstrasikan bagaimana sebuah pesan SMTP dapat mengeksploitasi kerentanan ini.
Sumber : https://cybersecuritynews.com/zimbra-rce-vulnerability/
Kerentanan ini ditemukan di layanan post-journal Zimbra. Penyerang dapat mengeksploitasinya untuk menjalankan perintah sewenang-wenang tanpa otentikasi, yang menimbulkan risiko signifikan terhadap keamanan dan integritas sistem yang menggunakan platform tersebut.
Patch keamanan dihosting di bucket S3 Zimbra, s3(:)repo.zimbra.com, yang dapat diakses oleh publik. Para peneliti mendapatkan versi biner postjournal yang telah ditambal dari paket tambalan Zimbra terbaru.
Alih-alih melakukan binary diff, mereka membalikkan biner menggunakan Ghidra untuk mengidentifikasi fungsi-fungsi penting seperti run_command.
Dalam versi yang telah ditambal, fungsi execvp digunakan dengan input pengguna yang diteruskan sebagai array, mencegah injeksi perintah langsung. Fungsi is_safe_input diperkenalkan untuk membersihkan input dan memblokir karakter khusus yang dapat menyebabkan injeksi perintah.
Para peneliti menganalisis versi perangkat lunak yang belum ditambal dan menemukan bahwa perangkat lunak tersebut menggunakan popen dalam fungsi read_maps tanpa sanitasi input, yang memungkinkan terjadinya injeksi perintah. Dengan menyiapkan server uji, mereka mendemonstrasikan bagaimana sebuah pesan SMTP dapat mengeksploitasi kerentanan ini.
Sumber : https://cybersecuritynews.com/zimbra-rce-vulnerability/