# CVE-2024-45519 - Zimbra RCE Pré-Autenticação via Serviço postjournal > [!critical] Severidade Máxima - RCE Pré-Auth com PoC Público e Exploração em Massa > Vulnerabilidade CVSS 10.0 no Zimbra Collaboration Suite permite execução remota de código sem autenticação via serviço postjournal (SMTP). PoC público no GitHub. CISA KEV ativo. Altamente relevante para governo e educação no Brasil. ## Visão Geral **CVE-2024-45519** é uma vulnerabilidade crítica de **injeção de comandos (CWE-78)** no serviço **postjournal** do Zimbra Collaboration Suite, uma das plataformas de e-mail e colaboração mais utilizadas globalmente. A falha decorre da sanitização inadequada de entrada do usuário antes da passagem para a função `popen` do sistema operacional, permitindo que atacantes **não autenticados** executem comandos arbitrários através de requisições SMTP especialmente elaboradas. A vulnerabilidade afeta versões 8.8.15 anteriores ao Patch 46, 9.0.0 anteriores ao Patch 41, 10.0 anteriores a 10.0.9, e 10.1 anteriores a 10.1.1. O serviço postjournal é responsável pelo journaling de e-mails e, em configurações vulneráveis, aceita conexões sem autenticação, tornando a exploração trivial para qualquer atacante com acesso de rede ao servidor SMTP. Múltiplos **PoCs (proof-of-concept)** estão disponíveis públicamente no GitHub, automatizando a exploração e frequentemente estabelecendo reverse shells via `netcat`. A CISA adicionou a vulnerabilidade ao catálogo KEV, confirmando exploração ativa em ambientes reais. A falha está relacionada à mesma classe de vulnerabilidade explorada em [[cve-2025-71275|CVE-2025-71275]] e segue o histórico de vulnerabilidades críticas no Zimbra, incluindo [[cve-2023-37580|CVE-2023-37580]] (XSS explorado por múltiplos APTs). O Zimbra é particularmente prevalente em organizações [[government|governamentais]] e [[education|educacionais]] globalmente, onde frequentemente é escolhido como alternativa de código aberto ao Microsoft Exchange. Esta adoção ampla em setores sensíveis amplifica significativamente o impacto da vulnerabilidade. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por servidores Zimbra<br/>porta 25/SMTP"] --> B["💥 Exploit RCE<br/>Requisição SMTP maliciosa<br/>ao serviço postjournal"] B --> C["🔑 Injeção de Comando<br/>Comandos OS via popen<br/>sem autenticação"] C --> D["🛡️ Reverse Shell<br/>Conexão reversa via<br/>netcat ao atacante"] D --> E["🔗 Persistência<br/>Web shell ou cron job<br/>no servidor Zimbra"] E --> F["📤 Exfiltração<br/>Acesso a e-mails<br/>e dados de colaboração"] ``` ## TTPs Mapeados | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do serviço postjournal via SMTP | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Injeção de comandos Unix via `popen` | | Command and Control | [[t1071-003-mail-protocols\|T1071.003]] | Abuso de protocolo SMTP para entrega do exploit | | Persistence | [[t1505-003-web-shell\|T1505.003]] | Implantação de web shells pós-exploração | | Persistence | [[t1053-003-cron\|T1053.003]] | Cron jobs para persistência no servidor | | Collection | [[t1114-001-local-email-collection\|T1114.001]] | Acesso direto ao mail store do Zimbra | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Zimbra Collaboration Suite possui adoção massiva em organizações **governamentais** e **educacionais** brasileiras e latino-americanas, onde é frequentemente escolhido como plataforma de e-mail por ser open-source e ter custo significativamente inferior ao Microsoft Exchange ou Google Workspace. No Brasil, o Zimbra é utilizado por diversas **prefeituras**, **universidades federais**, **tribunais** e **órgãos da administração pública**. A plataforma é popular também em instituições de ensino superior como IFEs (Institutos Federais de Educação) e universidades estaduais, que frequentemente operam instâncias com milhares de caixas postais. O risco para a região é agravado por dois fatores: (1) servidores Zimbra em organizações públicas frequentemente sofrem de **atraso na aplicação de patches** devido a processos burocráticos de gestão de mudanças, e (2) muitas instâncias estão **diretamente expostas à internet** sem proteção adicional de WAF ou segmentação de rede, tornando-as alvos triviais para varreduras automatizadas que exploram o PoC público. ## Detecção e Defesa ### Ações Imediatas 1. **Aplicar patch** para versões corrigidas (8.8.15 Patch 46+, 9.0.0 Patch 41+, 10.0.9+, 10.1.1+) 2. **Desabilitar o serviço postjournal** se não utilizado: `zmlocalconfig -e postjournal_enabled=false` 3. **Restringir acesso SMTP** ao serviço postjournal via firewall 4. **Auditar logs** do Zimbra por comandos anômalos e conexões SMTP suspeitas 5. **Verificar** presença de web shells e cron jobs não autorizados ### Indicadores de Comprometimento - Processos anômalos executando como usuário `zimbra` - Conexões outbound incomuns (reverse shells via netcat) - Modificações em diretórios web do Zimbra (`/opt/zimbra/jetty/webapps/`) - Cron jobs não autorizados para o usuário `zimbra` ### Mitigações MITRE - [[M1030-network-segmentation\|M1030 - Network Segmentation]]: isolar serviço SMTP do postjournal - [[M1050-exploit-protection\|M1050 - Exploit Protection]]: WAF para filtrar requisições SMTP maliciosas - [[M1051-update-software\|M1051 - Update Software]]: aplicar patches do Zimbra imediatamente ## Referências - [NVD - CVE-2024-45519](https://nvd.nist.gov/vuln/detail/CVE-2024-45519) - [ProjectDiscovery - Zimbra RCE](https://projectdiscovery.io/blog/zimbra-remote-code-execution) - [SentinelOne - CVE-2024-45519](https://www.sentinelone.com/vulnerability-database/CVE-2024-45519/) - [SecPod - Zimbra Unauthorized Code Execution](https://www.secpod.com/blog/zimbra-fixes-actively-exploited-CVE-2024-45519-flaw-allowing-unauthorised-code-execution/) - [CIS Advisory](https://www.cisecurity.org/advisory/a-vulnerability-in-zimbra-collaboration-could-allow-for-remote-code-execution_2024-108) - [[cve-2025-71275|CVE-2025-71275]] (vulnerabilidade relacionada no mesmo serviço) - [[cve-2023-37580|CVE-2023-37580]] (XSS Zimbra explorado anteriormente)