Ένα ενεργό! Η αποστολή απομακρυσμένου κώδικα μηδενικής ημέρας αλληλογραφίας εκμεταλλεύεται ενεργά σε επιθέσεις σε μεγάλους οργανισμούς στην Ιαπωνία.
Ενεργός! Το Mail είναι ένας πελάτης ηλεκτρονικού ταχυδρομείου που βασίζεται στο διαδίκτυο που αναπτύχθηκε αρχικά από το Transware και αργότερα αποκτήθηκε από την Qualitia, και οι δύο ιαπωνικές εταιρείες.
Ενώ δεν χρησιμοποιείται ευρέως παγκοσμίως όπως το Gmail ή το Outlook, ενεργό! Χρησιμοποιείται συχνά ως στοιχείο ομαδικής λογισμικής σε περιβάλλοντα της Ιαπωνικής γλώσσας μεγάλων εταιρειών, πανεπιστημίων, κυβερνητικών υπηρεσιών και τραπεζών.
Σύμφωνα με τον πωλητή, ενεργός! είναι Χρησιμοποιείται σε πάνω από 2.250 οργανισμούςδιαθέτοντας πάνω από 11.000.000 λογαριασμούς, καθιστώντας τον σημαντικό παίκτη στην αγορά του Webmail της χώρας.
Αργά την περασμένη εβδομάδα, η Qualitia δημοσίευσε ένα δελτίο ασφαλείας σχετικά με μια ευπάθεια υπερχείλισης buffer που βασίζεται σε στοίβα που παρακολουθείται υπό CVE-2025-42599 (βαθμολογία CVSS V3: 9.8, “Critical”) που επηρεάζει όλες τις εκδόσεις ενεργών! μέχρι και συμπεριλαμβανομένης της «BuildInfo: 6.60.05008561» σε όλες τις υποστηριζόμενες πλατφόρμες OS.
“Εάν αποστέλλεται ένα αδιευκρίνιστο αίτημα από απομακρυσμένο τρίτο, υπάρχει πιθανότητα αυθαίρετης εκτέλεσης κώδικα ή προϋπόθεση για την άρνηση της υπηρεσίας (DOS)”. διαβάζει το Δελτίο.
Παρόλο που η Qualitia αναφέρει τη διερεύνηση του εάν το ελάττωμα έχει εκμεταλλευτεί, το Cert της Ιαπωνίας έχει επιβεβαίωσε την ενεργό κατάσταση εκμετάλλευσηςπροτρέποντας όλους τους χρήστες να ενημερώσουν για ενεργό! Mail 6 BuildInfo: 6.60.06008562 το συντομότερο δυνατό.
Η ιαπωνική υπηρεσία φιλοξενίας ιστοσελίδων και υπηρεσιών πληροφορικής (SMB) Kagoya Japan ανέφερε αρκετές εξωτερικές επιθέσεις κατά τη διάρκεια του Σαββατοκύριακου, προτρέποντάς τον να αναστείλει προσωρινά την υπηρεσία.
“Υποψιάζουμε ότι αυτό το ζήτημα σχετίζεται με μια ευπάθεια που αποκαλύπτεται από την Qualitia (ο προγραμματιστής),” Διαβάζει το Δελτίο Kagoya που δημοσιεύθηκε νωρίτερα.
Μια παρόμοια διακοπή υπηρεσίας μετά από τις προσπάθειες εκμετάλλευσης εκμεταλλεύτηκε επίσης αναφέρθηκε από τον πάροχο υπηρεσιών Web Hosting and IT Wadax.
“Σε αυτό το στάδιο, δεν μπορούμε ακόμα να εγγυηθούμε την ασφαλή χρήση της υπηρεσίας για τους πελάτες μας”, ανακοίνωσε Wadax.
“Ως εκ τούτου, με την ασφάλεια των πελατών ως κορυφαία προτεραιότητά μας, έχουμε αναστείλει προσωρινά την ενεργό υπηρεσία αλληλογραφίας ως προφύλαξη”.
Ερευνητής ασφαλείας Macnica Yutaka Sejiyama δήλωσε στον BleepingComputer ότι τουλάχιστον 227 εκτεθειμένο στο διαδίκτυο ενεργό! Οι διακομιστές που είναι δυνητικά εκτεθειμένοι σε αυτές τις επιθέσεις, με 63 από αυτούς που χρησιμοποιούνται στα πανεπιστήμια.
Το Cert της Ιαπωνίας έχει Προτεινόμενα συγκεκριμένα βήματα μετριασμού Για όσους δεν μπορούν να εφαρμόσουν την ενημέρωση ασφαλείας αμέσως, συμπεριλαμβανομένης της διαμόρφωσης του τείχους προστασίας εφαρμογών ιστού (WAF) για να ενεργοποιήσετε την επιθεώρηση του σώματος HTTP και τις κεφαλίδες πολλαπλών δεδομένων/μορφών δεδομένων, εάν το μέγεθος τους υπερβαίνει ένα συγκεκριμένο όριο.
VIA: bleepingcomputer.com
