Pesquisadores de cibersegurança estão alertando sobre tentativas de exploração ativa de uma vulnerabilidade crítica recentemente divulgada no Zimbra Collaboration, serviço da Synacor. A falha, identificada como CVE-2024-45519, permite que invasores não autenticados executem comandos arbitrários em instalações afetadas do Zimbra, representando um risco significativo. A atividade maliciosa foi observada em 28 de setembro de 2024, com ataques visando o serviço “postjournal” do Zimbra.

Esses ataques buscam explorar a falha enviando e-mails que imitam o Gmail, com endereços falsos no campo de CC. Esses endereços contêm strings codificadas em Base64, que são executadas pelo utilitário “sh” nas instâncias vulneráveis do Zimbra. A Zimbra já corrigiu a falha nas versões 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 e 10.1.1, lançadas em 4 de setembro de 2024, após a descoberta feita pelo pesquisador de segurança Alan Li, também conhecido como “lebr0nli”.

Embora o recurso “postjournal” seja opcional e não esteja ativado na maioria dos sistemas, a recomendação é aplicar o patch imediatamente para evitar possíveis explorações. A vulnerabilidade decorre da falta de validação adequada de entradas de usuários no serviço “postjournal”, permitindo injeção de comandos. O problema está na maneira como o binário C do “postjournal” lida com os endereços de e-mail dos destinatários, o que facilita a exploração através de mensagens SMTP especialmente manipuladas.