نماد سایت اتاق خبر شبکه گستر

هشدار مرکز ماهر در خصوص وجود آسیب‌پذیری حیاتی در سرویس‌دهنده ایمیل Zimbra

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) در اطلاعیه‌ای نسبت به خطر عدم ترمیم یک آسیب‌پذیری حیاتی با شناسه CVE-2019-9670 در Zimbra که به گفته این مرکز یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور تلقی می‌شود هشدار داده است.

مشروح این اطلاعیه به‌شرح زیر است:

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

و

خروج از نسخه موبایل