Zimbra a correctifs publiés pour contenir une faille de sécurité activement exploitée dans sa suite de collaboration d’entreprise qui pourrait être exploitée pour télécharger des fichiers arbitraires vers des instances vulnérables.
Suivi comme CVE-2022-41352 (score CVSS : 9,8), le problème affecte un composant de la suite Zimbra appelé Amavisun filtre de contenu open source, et plus précisément, l’utilitaire cpio qu’il utilise pour analyser et extraire des archives.
La faille, à son tour, serait enracinée dans une autre vulnérabilité sous-jacente (CVE-2015-1197) qui a été divulguée pour la première fois au début de 2015, qui selon Flashpoint a été corrigé, pour ensuite être annulé dans les distributions Linux ultérieures.
« Un attaquant peut utiliser le package cpio pour obtenir un accès incorrect à tout autre compte d’utilisateur », a déclaré Zimbra dans un avis publié la semaine dernière, ajoutant qu’il « recommande pax plutôt que cpio ».
Les correctifs sont disponibles dans les versions suivantes –
Tout ce qu’un adversaire doit faire pour militariser la lacune est d’envoyer un e-mail avec une pièce jointe d’archive TAR spécialement conçue qui, une fois reçue, est soumise à Amavis, qui utilise le module cpio pour déclencher l’exploit.
La société de cybersécurité Kaspersky a divulgué que des groupes APT inconnus ont activement profité de la faille dans la nature, l’un des acteurs « infectant systématiquement tous les serveurs vulnérables d’Asie centrale ».
Les attaques, qui se sont déroulées sur deux vagues d’attaques au début et à la fin du mois de septembre, visaient principalement des entités gouvernementales de la région, abusant de la position initiale pour déposer des shells Web sur les serveurs compromis pour des activités de suivi.
Sur la base des informations partagées par la société de réponse aux incidents Volexity, environ 1 600 serveurs Zimbra auraient été infectés dans ce qu’elle appelle un « mélange d’attaques ciblées et opportunistes ».
« Certains chemins d’accès au shell Web […] ont été utilisés dans l’exploitation ciblée (probablement APT) d’organisations clés du gouvernement, des télécommunications et de l’informatique, principalement en Asie ; d’autres ont été utilisés dans une exploitation mondiale massive », la société a dit dans une série de tweets.