摘要

CVE-2024-45519是Zimbra协作套件postjournal服务中发现的关键安全漏洞。该漏洞目前尚未获得CVSS评分，但允许远程攻击者在受影响系统上执行任意代码，可能导致未授权访问、数据泄露和完全系统沦陷。

受影响系统及应用

• 应用：Zimbra Collaboration Suite (ZCS)
• 受影响版本：8.8.15(至Patch 45)和9.0.0(至Patch 40)
• 平台：所有支持平台(Linux, Mac OS X)

技术细节/攻击概述

CVE-2024-45519是存在于Zimbra协作套件postjournal服务邮件处理模块中的远程代码执行(RCE)漏洞。该漏洞源于未能正确清理用户输入，使得攻击者无需认证即可注入任意命令。攻击者可通过向易受攻击的Zimbra服务器发送特制邮件来绕过用户输入清理机制。

攻击流程包括：

1. 识别运行漏洞版本的Zimbra服务器
2. 制作包含特定payload的邮件以绕过输入清理
3. 发送特制邮件至目标服务器，触发任意代码执行

修复建议

• 立即更新系统：升级至最新修补版本(8.8.15 Patch 46和9.0.0 Patch 41)或更新至10.0.9/10.1.1
• 临时解决方案：如无法立即更新，考虑临时禁用或限制postjournal服务访问
• 邮件过滤：使用邮件安全网关在邮件到达Zimbra服务器前过滤恶意内容
• 日志监控：监控postjournal服务相关日志中的可疑活动

通用建议

• 网络隔离：将Zimbra服务器与其他网络隔离以降低风险
• 定期补丁：实施补丁管理策略确保软件及时更新
• 日志记录：启用详细日志记录并监控异常活动
• 用户培训：定期培训用户识别钓鱼邮件和基于邮件的攻击
• 备份恢复：定期备份Zimbra数据并验证恢复能力

参考资料

• Feedly威胁情报报告
• NIST国家漏洞数据库
• Zimbra安全中心
• Dark Reading文章
• Project Discovery文章-Zimbra远程命令执行(CVE-2024-45519)
• Zimbra补丁下载链接：
  • https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/patch_installation
  • https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/patch_installation
  • https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.0/patch_installation
  • https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.0/patch_installation