Des pirates exploitent une faille RCE non corrigée dans Zimbra Collaboration Suite


Une grave vulnérabilité d’exécution de code à distance dans le logiciel de collaboration d’entreprise et la plate-forme de messagerie de Zimbra est activement exploitée, aucun correctif n’étant actuellement disponible pour résoudre le problème.

Le défaut, attribué CVE-2022-41352porte un indice de gravité critique de CVSS 9.8, offrant une voie aux attaquants pour télécharger des fichiers arbitraires et effectuer des actions malveillantes sur les installations affectées.

« La vulnérabilité est due à la méthode (cpio) dans lequel le moteur antivirus de Zimbra (Amavis) scanne les e-mails entrants », la société de cybersécurité Rapid7 a dit dans une analyse publiée cette semaine.

La cyber-sécurité

La question aurait été malmenée depuis début septembre 2022, selon détails partagé sur les forums Zimbra. Alors qu’un correctif n’a pas encore été publié, Zimbra exhorte les utilisateurs à installer l’utilitaire « pax » et à redémarrer les services Zimbra.

« Si la forfait passagers n’est pas installé, Amavis reviendra à l’utilisation de cpio, malheureusement la solution de repli est mal implémentée (par Amavis) et permettra à un attaquant non authentifié de créer et d’écraser des fichiers sur le serveur Zimbra, y compris la racine Web Zimbra « , la société a dit le mois dernier.

La vulnérabilité, qui est présente dans les versions 8.8.15 et 9.0 du logiciel, affecte plusieurs distributions Linux telles que Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8, à l’exception d’Ubuntu en raison du fait ce pax est déjà installé par défaut.

Une exploitation réussie de la faille nécessite qu’un attaquant envoie par courrier électronique un fichier d’archive (CPIO ou TAR) à un serveur sensible, qui est ensuite inspecté par Amavis à l’aide de l’utilitaire d’archivage de fichiers cpio pour extraire son contenu.

« Comme cpio n’a pas de mode où il peut être utilisé en toute sécurité sur des fichiers non fiables, l’attaquant peut écrire dans n’importe quel chemin du système de fichiers auquel l’utilisateur Zimbra peut accéder », a déclaré Ron Bowes, chercheur à Rapid7. « Le résultat le plus probable est que l’attaquant plante un shell dans la racine Web pour obtenir l’exécution de code à distance, bien que d’autres voies existent probablement. »

La cyber-sécurité

Zimbra a déclaré qu’il s’attend à ce que la vulnérabilité soit corrigée dans le prochain correctif Zimbra, qui supprimera la dépendance à cpio et fera plutôt de pax une exigence. Cependant, il n’a pas proposé de délai précis pour la disponibilité du correctif.

Rapid7 a également noté que CVE-2022-41352 est « effectivement identique » à CVE-2022-30333, une faille de traversée de chemin dans la version Unix de l’utilitaire unRAR de RARlab qui a été révélée plus tôt en juin, la seule différence étant que la nouvelle faille exploite Formats d’archives CPIO et TAR au lieu de RAR.

Plus troublant encore, Zimbra serait encore plus vulnérable à un autre faille d’élévation de privilèges zero-dayqui pourrait être enchaîné avec le cpio zero-day pour obtenir une compromission de la racine à distance des serveurs.

Le fait que Zimbra ait été une cible populaire pour les acteurs de la menace n’est en aucun cas nouveau. En août, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis averti d’adversaires exploitant de multiples failles dans le logiciel pour violer les réseaux.



ttn-fr-57