Кіберзлочинці активно використовують критичну вразливість поштових серверів, що продаються компанією Zimbra, намагаючись віддалено виконати шкідливі команди, що відкриваєє чорний вхід. Вразливість, що відстежується як CVE-2024-45519, міститься в сервері електронної пошти та спільної роботи Zimbra, який використовується середніми та великими організаціями. Коли адміністратор вручну змінює налаштування за замовчуванням, щоб увімкнути службу postjournal, зловмисники можуть виконувати команди, надсилаючи зловмисно сформовані електронні листи на адресу, розміщену на сервері. І хоча нещодавно Zimbra випустила виправлення цієї вразливості, та далеко не користувачі Zimbra його встановили чи хоча б переконалися, що postjournal відключений.
У вівторок дослідник в галізу безпеки Іван Квятковський (Ivan Kwiatkowski) вперше повідомив про атаки в «дикій природі», які він назвав «масовою експлуатацією». За його словами, шкідливі електронні листи надсилалися з IP-адреси 79.124.49[.]86 і, в разі успіху, намагалися запустити файл, розміщений на цій адресі, за допомогою інструменту, відомого як curl. Пізніше того ж дня дослідники з компанії Proofpoint звернулися до соціальних мереж, щоб підтвердити цей звіт. У середу дослідники безпеки надали додаткові подробиці, які свідчать про те, що шкоду від цієї експлуатації, ймовірно, можна локалізувати. Як вже зазначалося, за їхніми словами, необхідно змінити налаштування за замовчуванням, що напевно зменшить кількість вразливих серверів.