{"id":403543,"date":"2022-10-08T08:03:30","date_gmt":"2022-10-08T10:03:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-exploitent-une-faille-rce-non-corrigee-dans-zimbra-collaboration-suite\/"},"modified":"2022-10-08T08:03:31","modified_gmt":"2022-10-08T10:03:31","slug":"des-pirates-exploitent-une-faille-rce-non-corrigee-dans-zimbra-collaboration-suite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-exploitent-une-faille-rce-non-corrigee-dans-zimbra-collaboration-suite\/","title":{"rendered":"Des pirates exploitent une faille RCE non corrig\u00e9e dans Zimbra Collaboration Suite"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une grave vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance dans le logiciel de collaboration d&#8217;entreprise et la plate-forme de messagerie de Zimbra est activement exploit\u00e9e, aucun correctif n&#8217;\u00e9tant actuellement disponible pour r\u00e9soudre le probl\u00e8me.<\/p>\n<p>Le d\u00e9faut, attribu\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-41352\" target=\"_blank\">CVE-2022-41352<\/a>porte un indice de gravit\u00e9 critique de CVSS 9.8, offrant une voie aux attaquants pour t\u00e9l\u00e9charger des fichiers arbitraires et effectuer des actions malveillantes sur les installations affect\u00e9es.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 est due \u00e0 la m\u00e9thode (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Cpio\" target=\"_blank\">cpio<\/a>) dans lequel le moteur antivirus de Zimbra (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Amavis\" target=\"_blank\">Amavis<\/a>) scanne les e-mails entrants \u00bb, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Rapid7 <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/10\/06\/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352\/\" target=\"_blank\">a dit<\/a> dans une analyse publi\u00e9e cette semaine.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La question aurait \u00e9t\u00e9 malmen\u00e9e depuis d\u00e9but septembre 2022, selon <a rel=\"nofollow noopener\" href=\"https:\/\/forums.zimbra.org\/viewtopic.php?t=71153&amp;p=306532\" target=\"_blank\">d\u00e9tails<\/a> partag\u00e9 sur les forums Zimbra.  Alors qu&#8217;un correctif n&#8217;a pas encore \u00e9t\u00e9 publi\u00e9, Zimbra exhorte les utilisateurs \u00e0 installer l&#8217;utilitaire &#8220;pax&#8221; et \u00e0 red\u00e9marrer les services Zimbra.<\/p>\n<p>&#8220;Si la <a rel=\"nofollow noopener\" href=\"https:\/\/manpages.ubuntu.com\/manpages\/xenial\/man1\/pax.1.html\" target=\"_blank\">forfait passagers<\/a> n&#8217;est pas install\u00e9, Amavis reviendra \u00e0 l&#8217;utilisation de cpio, malheureusement la solution de repli est mal impl\u00e9ment\u00e9e (par Amavis) et permettra \u00e0 un attaquant non authentifi\u00e9 de cr\u00e9er et d&#8217;\u00e9craser des fichiers sur le serveur Zimbra, y compris la racine Web Zimbra &#8220;, la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.zimbra.com\/2022\/09\/security-update-make-sure-to-install-pax-spax\/\" target=\"_blank\">a dit<\/a> le mois dernier.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, qui est pr\u00e9sente dans les versions 8.8.15 et 9.0 du logiciel, affecte plusieurs distributions Linux telles que Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8, \u00e0 l&#8217;exception d&#8217;Ubuntu en raison du fait ce pax est d\u00e9j\u00e0 install\u00e9 par d\u00e9faut.<\/p>\n<p>Une exploitation r\u00e9ussie de la faille n\u00e9cessite qu&#8217;un attaquant envoie par courrier \u00e9lectronique un fichier d&#8217;archive (CPIO ou TAR) \u00e0 un serveur sensible, qui est ensuite inspect\u00e9 par Amavis \u00e0 l&#8217;aide de l&#8217;utilitaire d&#8217;archivage de fichiers cpio pour extraire son contenu.<\/p>\n<p>&#8220;Comme cpio n&#8217;a pas de mode o\u00f9 il peut \u00eatre utilis\u00e9 en toute s\u00e9curit\u00e9 sur des fichiers non fiables, l&#8217;attaquant peut \u00e9crire dans n&#8217;importe quel chemin du syst\u00e8me de fichiers auquel l&#8217;utilisateur Zimbra peut acc\u00e9der&#8221;, a d\u00e9clar\u00e9 Ron Bowes, chercheur \u00e0 Rapid7.  &#8220;Le r\u00e9sultat le plus probable est que l&#8217;attaquant plante un shell dans la racine Web pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance, bien que d&#8217;autres voies existent probablement.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Zimbra a d\u00e9clar\u00e9 qu&#8217;il s&#8217;attend \u00e0 ce que la vuln\u00e9rabilit\u00e9 soit corrig\u00e9e dans le prochain correctif Zimbra, qui supprimera la d\u00e9pendance \u00e0 cpio et fera plut\u00f4t de pax une exigence.  Cependant, il n&#8217;a pas propos\u00e9 de d\u00e9lai pr\u00e9cis pour la disponibilit\u00e9 du correctif.<\/p>\n<p>Rapid7 a \u00e9galement not\u00e9 que CVE-2022-41352 est &#8220;effectivement identique&#8221; \u00e0 CVE-2022-30333, une faille de travers\u00e9e de chemin dans la version Unix de l&#8217;utilitaire unRAR de RARlab qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e plus t\u00f4t en juin, la seule diff\u00e9rence \u00e9tant que la nouvelle faille exploite Formats d&#8217;archives CPIO et TAR au lieu de RAR.<\/p>\n<p>Plus troublant encore, Zimbra serait encore plus vuln\u00e9rable \u00e0 un autre <a rel=\"nofollow noopener\" href=\"https:\/\/attackerkb.com\/topics\/1DDTvUNFzH\/cve-2022-41352\/rapid7-analysis\" target=\"_blank\">faille d&#8217;\u00e9l\u00e9vation de privil\u00e8ges zero-day<\/a>qui pourrait \u00eatre encha\u00een\u00e9 avec le cpio zero-day pour obtenir une compromission de la racine \u00e0 distance des serveurs.<\/p>\n<p>Le fait que Zimbra ait \u00e9t\u00e9 une cible populaire pour les acteurs de la menace n&#8217;est en aucun cas nouveau.  En ao\u00fbt, la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-228a\" target=\"_blank\">averti<\/a> d&#8217;adversaires exploitant de multiples failles dans le logiciel pour violer les r\u00e9seaux.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/hackers-exploiting-unpatched-rce-flaw.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une grave vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance dans le logiciel de collaboration d&#8217;entreprise et la plate-forme de messagerie de Zimbra est activement exploit\u00e9e, aucun correctif n&#8217;\u00e9tant actuellement disponible pour r\u00e9soudre le probl\u00e8me. Le d\u00e9faut, attribu\u00e9 CVE-2022-41352porte un indice de gravit\u00e9 critique de CVSS 9.8, offrant une voie aux attaquants pour t\u00e9l\u00e9charger des fichiers arbitraires [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":403544,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3041,4168,59777,4158,4165,4161,429,133,8736,9048,4157,4159,4171,4170,4167,4160,4163,4162,4394,22778,4172,4169,2768,196,4166,4164,12362],"class_list":["post-403543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-collaboration","tag-comment-pirater","tag-corrigee","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-exploitent","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-rce","tag-securite-informatique","tag-securite-internet","tag-suite","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zimbra"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/403543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=403543"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/403543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/403544"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=403543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=403543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=403543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}