Apple 发布了针对 iOS、iPadOS、macOS、visionOS 及其 Safari 网络浏览器的安全更新，以解决两个已被广泛利用的零日漏洞。

这些缺陷如下：

CVE-2024-44308 - JavaScriptCore 中的漏洞，在处理恶意 Web 内容时可能导致任意代码执行
CVE-2024-44309 - WebKit 中的 cookie 管理漏洞，在处理恶意 Web 内容时可能导致跨站点脚本 (XSS) 攻击

这家 iPhone 制造商表示，它分别通过改进检查和改进状态管理解决了 CVE-2024-44308 和 CVE-2024-44309 问题。

目前关于漏洞利用的具体性质尚不清楚，但苹果承认，这两个漏洞“可能在基于 Intel 的 Mac 系统上被积极利用”。

谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Benoît Sevens 因发现和报告这两个漏洞而受到赞誉，这表明这两个漏洞很可能被用于高度针对性的政府支持或雇佣兵间谍软件攻击。

更新适用于以下设备和操作系统 -

iOS 18.1.1 和 iPadOS 18.1.1 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
iOS 17.7.2 和 iPadOS 17.7.2 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、iPad mini 第 5 代及更新机型
macOS Sequoia 15.1.1 - 运行 macOS Sequoia 的 Mac
visionOS 2.1.1 -Apple Vision Pro
Safari 18.1.1 - 运行 macOS Ventura 和 macOS Sonoma 的 Mac

到目前为止，苹果今年已修复了其软件中的四个零日漏洞，其中一个 ( CVE-2024-27834 ) 在 Pwn2Own 温哥华黑客大赛上进行了展示。另外三个漏洞分别于2024 年1 月和3 月进行了修补。

建议用户尽快将其设备更新到最新版本，以防范潜在威胁。

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。

Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。

Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地权限提升 (LPE)，这意味着本地攻击者能够获得 root 权限”，并指出这些问题已在 3.8 版本中得到解决。

Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。

以下列出了五个缺陷——

CVE-2024-48990（CVSS 评分：7.8） - 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python 解释器，从而以 root 身份执行任意代码
CVE-2024-48991（CVSS 评分：7.8） - 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root 身份执行任意代码
CVE-2024-48992（CVSS 评分：7.8） - 一个漏洞，允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以 root 身份执行任意代码
CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 两个漏洞允许本地攻击者利用 libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令
成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特制的环境变量，从而导致在运行 needrestart 时执行指向威胁行为者环境的任意代码。

Ubuntu 指出：“在 CVE-2024-10224 中，[...] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。”

“就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发 CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。”

虽然强烈建议下载最新的补丁，但 Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。

Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。”

“利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。”

美国网络安全和基础设施安全局 (CISA) 周四将影响 Palo Alto Networks Expedition 的严重安全漏洞（现已修复）添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞存在主动利用。

该漏洞被标记为CVE-2024-5910（CVSS 评分：9.3），涉及 Expedition 迁移工具中缺少身份验证的情况，可能导致管理员帐户被接管。

CISA 在警报中表示：“Palo Alto Expedition 包含一个缺少身份验证的漏洞，该漏洞允许具有网络访问权限的攻击者接管 Expedition 管理员帐户并可能访问配置机密、凭据和其他数据。”

该缺陷影响了 Expedition 1.2.92 版本之前的所有版本，该版本于 2024 年 7 月发布，以解决该问题。

目前尚无关于该漏洞如何在实际攻击中被利用的报告，但 Palo Alto Networks 此后修改了其原始公告，承认其“注意到 CISA 的报告，有证据表明该漏洞正在被积极利用”。

KEV 目录中还添加了另外两个漏洞，其中包括 Android 框架组件中的权限提升漏洞 ( CVE-2024-43093 )。谷歌本周披露，该漏洞已受到“​​有限的、有针对性的利用”。

另一个安全缺陷是CVE-2024-51567（CVSS 评分：10.0），这是一个影响 Cyber​​Panel 的严重缺陷，允许远程未经身份验证的攻击者以 root 身份执行命令。该问题已在 2.3.8 版本中得到解决。

据LeakIX和网名为Gi7w0rm的安全研究员称，2023 年 10 月下旬，有发现恶意行为者大规模利用该漏洞，在超过 22,000 个暴露在互联网上的 Cyber​​Panel 实例上部署了 PSAUX 勒索软件。

LeakIX 还指出，三个不同的勒索软件组织迅速利用了该漏洞，在某些情况下文件被多次加密。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 11 月 28 日之前修复已发现的漏洞，以保护其网络免受主动威胁。

谷歌警告称，影响其 Android 操作系统的安全漏洞已遭到广泛利用。

根据代码提交消息显示，该漏洞的编号为 CVE-2024-43093，是 Android 框架组件中的一个权限提升缺陷，可能导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其子目录。

目前尚无关于该漏洞如何在现实世界的攻击中被利用的详细信息，但谷歌在其月度公告中承认，有迹象表明该漏洞“可能受到有限的、有针对性的利用”。

该科技巨头还指出，高通芯片组中现已修复的安全漏洞 CVE-2024-43047 已被积极利用。该漏洞是数字信号处理器 (DSP) 服务中的一个释放后使用漏洞，成功利用该安全漏洞可能会导致内存损坏。

上个月，该芯片制造商对谷歌 Project Zero 研究员 Seth Jenkins 和 Conghui Wang 报告此漏洞表示感谢，并对国际特赦组织安全实验室确认了这一实际活动表示感谢。

该公告未提供针对该漏洞的攻击活动细节或攻击时间，不过该漏洞有可能被用作针对民间社会成员的高度针对性的间谍软件攻击的一部分。

目前还不清楚这两个安全漏洞是否被设计成一个漏洞利用链，以提升权限并实现代码执行。

CVE-2024-43093 是继CVE-2024-32896之后第二个被积极利用的 Android 框架漏洞，谷歌早在 2024 年 6 月和 9 月就修补了该漏洞。虽然该漏洞最初仅针对 Pixel 设备得到解决，但该公司后来证实该漏洞影响了更广泛的 Android 生态系统。

Kubernetes Image Builder 中披露了一个严重的安全漏洞，如果成功利用，可能会在某些情况下被滥用来获取 root 访问权限。

该漏洞编号为CVE-2024-9486（CVSS 评分：9.8），已在 0.1.38 版本中得到解决。项目维护人员感谢 Nicolai Rybnikar 发现并报告了该漏洞。

Red Hat 的 Joel Smith在警报中表示： “在 Kubernetes Image Builder 中发现了一个安全问题，在映像构建过程中启用了默认凭据。”

“此外，使用 Proxmox 提供程序构建的虚拟机映像不会禁用这些默认凭据，并且使用生成的映像的节点可以通过这些默认凭据访问。这些凭据可用于获取 root 访问权限。”

话虽如此，只有当 Kubernetes 集群的节点使用通过 Image Builder 项目与 Proxmox 提供程序创建的虚拟机 (VM) 映像时，集群才会受到该漏洞的影响。

作为临时缓解措施，建议禁用受影响虚拟机上的构建器帐户。还建议用户使用固定版本的 Image Builder 重建受影响的映像并将其重新部署到虚拟机上。

Kubernetes 团队实施的修复措施是，在镜像构建期间，随机生成密码，不再使用默认凭据。此外，在镜像构建过程结束时，构建者帐户将被禁用。

Kubernetes Image Builder 版本 0.1.38 还解决了使用 Nutanix、OVA、QEMU 或原始提供程序创建映像构建时默认凭据的相关问题（CVE-2024-9594，CVSS 分数：6.3）。

CVE-2024-9594 的严重性较低，这是因为使用这些提供程序构建的映像的虚拟机仅会受到影响，“如果攻击者能够到达正在构建映像的虚拟机，并利用漏洞在构建映像时修改映像”。

微软发布了针对 Dataverse、Imagine Cup 和 Power Platform 三个严重漏洞的服务器端补丁，这些漏洞可能导致权限提升和信息泄露 -

CVE-2024-38139（CVSS 评分：8.7）——Microsoft Dataverse 中的不正确身份验证允许授权攻击者通过网络提升权限
CVE-2024-38204（CVSS 评分：7.5）——Imagine Cup 中的不当访问控制允许授权攻击者通过网络提升权限
CVE-2024-38190（CVSS 评分：8.6）- Power Platform 中缺少授权，允许未经身份验证的攻击者通过网络攻击媒介查看敏感信息
此前，Apache Solr 开源企业搜索引擎 (CVE-2024-45216，CVSS 评分：9.8) 中也披露了一个严重漏洞，该漏洞可能为易受攻击实例上的身份验证绕过铺平道路。

GitHub 针对该漏洞的公告指出： “任何 Solr API URL 路径末尾的伪造结尾将允许请求跳过身份验证，同时保持与原始 URL 路径的 API 契约。这个伪造结尾看起来像一个不受保护的 API 路径，但它在身份验证之后但在 API 路由之前在内部被剥离。”

该问题影响 Solr 8.11.4 之前的 5.3.0 版本以及 9.7.0 之前的 9.0.0 版本，已分别在 8.11.4 和 9.7.0 版本中得到修复。

此前有报道称 ScienceLogic SL1 存在一个严重安全漏洞，该漏洞被积极利用为零日漏洞。周一，美国网络安全和基础设施安全局 (CISA)将影响 ScienceLogic SL1 的严重安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中。

该漏洞的编号为CVE-2024-9537（CVSS v4 评分：9.3），指的是涉及未指定的第三方组件的错误，可能导致远程代码执行。

此问题已在 12.1.3、12.2.3 和 12.3 及更高版本中得到解决。版本 10.1.x、10.2.x、11.1.x、11.2.x 和 11.3.x 也已提供修复。

几周前，云托管提供商 Rackspace承认“已发现 ScienceLogic EM7 门户存在问题”，并于上个月底将其仪表板下线。

一个名为 ynezzor 的账户在 2024 年 9 月 28 日的 X 帖子中表示： “我们已经确认，该第三方应用程序的漏洞导致了对三个内部 Rackspace 监控网络服务器的访问。”

目前尚不清楚此次攻击的幕后黑手是谁，但 Rackspace 已向Bleeping Computer证实，零日漏洞导致未经授权访问其内部性能报告系统，并且已通知所有受影响的客户。The Register最先报道了此次入侵事件。

联邦民事行政部门 (FCEB) 机构必须在 2024 年 11 月 11 日之前应用修复程序，以应对其网络可能面临的威胁。

Fortinet 修补可能被利用的漏洞#
目前，Fortinet 已发布 FortiManager 安全更新，以修复据称被与中国有关的威胁行为者利用的漏洞。

目前尚不清楚该漏洞的详细信息，但 Fortinet 过去曾提前发送机密客户通信，以帮助他们在漏洞向更广泛的受众发布之前加强防御。Hacker News 已联系该公司，如果收到回复，我们将更新该报道。

安全研究员 Kevin Beaumont 在 Mastodon上表示：“FortiGate 发布了 FortiManager 的六个新版本之一，修复了产品中被积极利用的零日漏洞……但他们尚未发布 CVE 或在发布说明中记录存在的问题。也许下周？”

“Fortigate 目前拥有中国使用的世界上最不秘密的零日漏洞，包括在 FortiManager Cloud 中……但每个人都很困惑。”

本月初，CISA根据野外利用的证据，在其 KEV 目录中添加了另一个影响 Fortinet FortiOS、FortiPAM、FortiProxy 和 FortiWeb 的严重漏洞（CVE-2024-23113 ，CVSS 评分：9.8）。

GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的严重漏洞。

该漏洞的编号为 CVE-2024-9164，CVSS 评分为 9.6（满分 10 分）。

GitLab在一份公告中表示： “GitLab EE 中发现一个问题，影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本，该问题允许在任意分支上运行管道。”

在其余七个问题中，四个问题的严重程度评级为高，两个问题的严重程度评级为中等，一个问题的严重程度评级为低 -

CVE-2024-8970（CVSS 评分：8.2），允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977（CVSS 评分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631（CVSS 评分：7.5），导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530（CVSS 评分：7.3），由于跨站点脚本问题，授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。

上个月，该公司解决了另一个严重漏洞（CVE-2024-6678，CVSS 评分：9.9），该漏洞可能允许攻击者以任意用户身份运行管道作业。

在此之前，它还修补了另外三个类似的缺陷——CVE -2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用该漏洞，但建议用户将其实例更新到最新版本以防范潜在威胁。

DrayTek 生产的家用和企业路由器中发现了十几个新的安全漏洞，这些漏洞可被利用来接管易受攻击的设备。

Forescout Vedere Labs 在与 The Hacker News 分享的技术报告中表示：“这些漏洞可能使攻击者通过注入恶意代码来控制路由器，从而使他们在设备上持久驻留并将其用作进入企业网络的网关。”

在这 14 个安全漏洞中，两个被评为严重，九个被评为高严重，三个被评为中等严重。最严重的一个漏洞获得了 CVSS 最高评分 10.0。

它涉及 Web 用户界面中“GetCGI()”函数中的缓冲区溢出错误，该错误可能在处理查询字符串参数时导致拒绝服务 (DoS) 或远程代码执行 (RCE)。

另一个严重的漏洞与用于主机和客户机操作系统之间通信的“recvCmd”二进制文件中的操作系统（OS）命令注入有关。

其余 12 个缺陷如下：

整个系统使用相同的管理员凭据，导致整个系统受到攻击（CVSS 评分：7.5）
Web UI 中存在反射型跨站点脚本 (XSS) 漏洞（CVSS 评分：7.5）
配置登录后自定义问候消息时 Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
配置显示给用户的自定义路由器名称时，Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
Web UI 登录页面中的反射型 XSS 漏洞（CVSS 评分：4.9）
Web UI 的 CGI 页面“/cgi-bin/v2x00.cgi”和“/cgi-bin/cgiwcg.cgi”中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 CGI 页面中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的“/cgi-bin/ipfedr.cgi”页面中存在堆栈缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 中存在多个缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 ft_payloads_dns() 函数中存在基于堆的缓冲区溢出漏洞，可导致 DoS（CVSS 评分：7.2）
Web UI 中的越界写入漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 Web 服务器后端存在信息泄露漏洞，可能允许威胁行为者执行中间人 (AitM) 攻击（CVSS 评分：7.6）
Forescout 的分析发现，超过 704,000 台 DrayTek 路由器的 Web UI 暴露在互联网上，使其成为恶意行为者攻击的热门地点。大多数暴露的实例位于美国，其次是越南、荷兰、台湾和澳大利亚。

DrayTek 路由器
在负责任地披露之后，DrayTek发布了针对所有已发现缺陷的补丁，并且还在 11 款停产 (EoL) 型号中解决了最高等级的漏洞。

Forescout 表示：“要完全防范新漏洞，需要修补运行受影响软件的设备。如果路由器上启用了远程访问，请在不需要时禁用它。如果可能，请使用访问控制列表 (ACL) 和双因素身份验证 (2FA)。

目前，澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国、英国和美国的网络安全机构已为关键基础设施组织发布了联合指导，以帮助维护安全、可靠的运营技术 (OT) 环境。

该文件名为“运营技术网络安全原则”，概述了六条基本规则 -
安全至关重要
了解业务至关重要
OT 数据极其宝贵，需要得到保护
将 OT 与所有其他网络进行分段和隔离
供应链必须安全
人员对于 OT 网络安全至关重要

该机构表示：“快速筛选决策以识别那些影响 OT 安全的决策，将有助于在设计、实施和管理 OT 环境时做出稳健、明智和全面的决策，从而促进安全性和业务连续性。”

网络安全研究人员透露，5% 的 Adob​​e Commerce 和 Magento 商店已被恶意行为者利用名为 CosmicSting 的安全漏洞进行攻击。

该严重漏洞的编号为CVE-2024-34102（CVSS 评分：9.8），与 XML 外部实体引用 (XXE) 漏洞的限制不当有关，可能导致远程代码执行。该漏洞由名为“ spacewasp ”的研究人员发现，并于 2024 年 6 月被 Adob​​e 修补。

荷兰安全公司 Sansec 将CosmicSting描述为“两年来袭击 Magento 和 Adob​​e Commerce 商店的最严重的漏洞”，并表示这些电子商务网站受到攻击的速度为每小时三到五个。

该漏洞此后遭到广泛利用，促使美国网络安全和基础设施安全局 (CISA) 在 2024 年 7 月中旬将其添加到已知利用漏洞 (KEV) 目录中。

其中一些攻击利用该漏洞窃取 Magento 的秘密加密密钥，然后使用该密钥生成具有完全管理 API 访问权限的 JSON Web 令牌 (JWT)。随后，威胁行为者被观察到利用 Magento REST API 注入恶意脚本。

这也意味着，仅仅应用最新的修复不足以抵御攻击，需要网站所有者采取措施轮换加密密钥。

2024 年 8 月观察到的后续攻击将 CosmicSting 与 CNEXT（CVE-2024-2961，GNU C 库（又名 glibc）内的 iconv 库中的漏洞）相结合，以实现远程代码执行。

Sansec指出：“CosmicSting（CVE-2024-34102）允许在未打补丁的系统上读取任意文件。当与 CNEXT（CVE-2024-2961）结合使用时，威胁行为者可以升级到远程代码执行，从而控制整个系统。”

这些攻击的最终目标是通过 GSocket 在主机上建立持久、隐蔽的访问，并插入恶意脚本，允许执行从攻击者那里收到的任意 JavaScript，以窃取用户在网站上输入的支付数据。

最新调查结果显示，雷朋、国家地理、思科、惠而浦和赛格威等多家公司都已成为 CosmicSting 攻击的受害者，至少有七个不同的团体参与了此类攻击 -

Bobry 小组使用空格编码来隐藏执行托管在远程服务器上的付款窃取器的代码
Polyovki 组，使用来自 cdnstatics.net/lib.js 的注入
Surki 组织，利用 XOR 编码隐藏 JavaScript 代码
布隆杜基组织 (Burunduki)，通过 wss://jgueurystatic[.]xyz:8101 的 WebSocket 访问动态 skimmer 代码
Group Ondatry使用自定义 JavaScript 加载恶意软件来注入虚假支付表单，模仿商户网站使用的合法支付表单
Khomyaki 组织将支付信息泄露到包含 2 个字符 URI（“rextension[.]net/za/”）的域名
Belki 组织利用 CosmicSting 和 CNEXT 植入后门和恶意软件
Sansec 表示：“强烈建议商家升级到最新版本的 Magento 或 Adob​​e Commerce。他们还应该轮换秘密加密密钥，并确保旧密钥失效。”

上传中...100%

网络安全研究人员警告称，有人试图针对 Synacor 的 Zimbra Collaboration 中新披露的安全漏洞进行主动攻击。

企业安全公司 Proofpoint 表示，它从 2024 年 9 月 28 日开始观察该活动。此次攻击试图利用CVE-2024-45519，这是 Zimbra 后日志服务中的一个严重安全漏洞，可能使未经身份验证的攻击者能够在受影响的安装上执行任意命令。

Proofpoint 在 X 的一系列帖子中表示：“这些冒充 Gmail 的电子邮件被发送到抄送字段中的虚假地址，试图让 Zimbra 服务器解析这些邮件并将其作为命令执行。这些地址包含使用 sh 实用程序执行的 Base64 字符串。”

Zimbra在 2024 年 9 月 4 日发布的8.8.15 Patch 46、9.0.0 Patch 41、10.0.9 和 10.1.1 版本中解决了这一严重问题。一位名为 lebr0nli（Alan Li）的安全研究员因发现并报告这一缺陷而受到赞誉。

Synacor 安全架构师工程师 Ashish Kataria在 2024 年 9 月 19 日的评论中指出： “虽然在大多数系统上，postjournal 功能可能是可选的或未启用的，但仍然有必要应用提供的补丁来防止潜在的攻击。”

“对于未启用 postjournal 功能且无法立即应用补丁的 Zimbra 系统，可以考虑删除 postjournal 二进制文件作为一种临时措施，直到可以应用补丁为止。”

Proofpoint 表示，它确定了一系列 CC 地址，这些地址在解码后会尝试在位于“/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”的易受攻击的 Zimbra 服务器上写入 Web shell。

随后，已安装的 Web Shell 将使用预定的 JSESSIONID Cookie 字段来监听入站连接，如果存在，则继续解析 JACTION cookie 以获取 Base64 命令。

Web Shell 配备了通过 exec 执行命令的支持。或者，它也可以通过套接字连接下载并执行文件。截至撰写本文时，尚未将这些攻击归咎于已知的威胁行为者或团体。

话虽如此，攻击活动似乎是在 Project Discovery 发布该漏洞的技术细节后的第二天开始的，该细节称“该漏洞源于未修补版本中未经清理的用户输入被传递给popen，从而使攻击者能够注入任意命令”。

该网络安全公司表示，问题根源在于基于 C 的 postjournal 二进制文件在名为“msg_handler()”的函数中处理和解析收件人电子邮件地址的方式，从而允许在传递带有虚假地址的特制 SMTP 消息（例如“aabbb$(curl${IFS}oast.me)”@mail.domain.com）时对运行在端口 10027 上的服务进行命令注入。

鉴于积极的攻击尝试，强烈建议用户应用最新补丁，以获得最佳的防护以抵御潜在威胁。