Zimbra’nın kurumsal işbirliği yazılımındaki ve e-posta platformundaki ciddi bir uzaktan kod yürütme güvenlik açığı, sorunu gidermek için şu anda herhangi bir yama bulunmadığından aktif olarak istismar ediliyor.
Eksik, atanan CVE-2022-41352CVSS 9.8 kritik önem derecesine sahiptir ve saldırganların rastgele dosyalar yüklemesi ve etkilenen kurulumlarda kötü niyetli eylemler gerçekleştirmesi için bir yol sağlar.
“Güvenlik açığı yöntemden kaynaklanmaktadır (işlemci) içinde Zimbra’nın antivirüs motoru (Amavis) gelen e-postaları tarar” siber güvenlik firması Rapid7 söz konusu Bu hafta yayınlanan bir analizde.
Konunun Eylül 2022’nin başından beri kötüye kullanıldığı söyleniyor. detaylar Zimbra forumlarında paylaşıldı. Henüz bir düzeltme yayınlanmamış olsa da Zimbra, kullanıcıları “pax” yardımcı programını yüklemeye ve Zimbra hizmetlerini yeniden başlatmaya çağırıyor.
“Eğer kişi paketi kurulu değilse, Amavis cpio kullanmaya geri dönecek, ne yazık ki geri dönüş kötü bir şekilde uygulanıyor (Amavis tarafından) ve kimliği doğrulanmamış bir saldırganın Zimbra webroot dahil olmak üzere Zimbra sunucusunda dosyalar oluşturmasına ve üzerine yazmasına izin verecek” şirket söz konusu geçen ay.
Yazılımın 8.8.15 ve 9.0 sürümlerinde bulunan güvenlik açığı, Ubuntu haricinde Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8 gibi birçok Linux dağıtımını etkiliyor. bu pax varsayılan olarak zaten yüklenmiştir.
Kusurun başarılı bir şekilde kullanılması, bir saldırganın bir arşiv dosyasını (CPIO veya TAR) hassas bir sunucuya e-postayla göndermesini gerektirir; bu sunucu daha sonra Amavis tarafından içeriğini çıkarmak için cpio dosya arşivleyici yardımcı programı kullanılarak denetlenir.
Rapid7 araştırmacısı Ron Bowes, “cpio’nun güvenilmeyen dosyalarda güvenle kullanılabileceği bir modu olmadığından, saldırgan, dosya sistemindeki Zimbra kullanıcısının erişebileceği herhangi bir yola yazabilir.” Dedi. “En olası sonuç, saldırganın, başka yollar muhtemelen mevcut olmasına rağmen, uzaktan kod yürütme elde etmek için web köküne bir kabuk yerleştirmesidir.”
Zimbra, güvenlik açığının cpio bağımlılığını ortadan kaldıracak ve bunun yerine pax’i bir gereklilik haline getirecek bir sonraki Zimbra yamasında ele alınmasını beklediğini söyledi. Ancak, düzeltmenin ne zaman kullanıma sunulacağı konusunda belirli bir zaman aralığı sunmadı.
Rapid7 ayrıca, CVE-2022-41352’nin, RARlab’ın unRAR yardımcı programının Unix sürümünde bu Haziran ayının başlarında ortaya çıkan bir yol geçiş hatası olan CVE-2022-30333 ile “etkili bir şekilde aynı” olduğunu belirtti; tek fark, yeni kusurun kaldıraç etkisi yaratmasıydı. RAR yerine CPIO ve TAR arşiv biçimleri.
Daha da rahatsız edici bir şekilde, Zimbra’nın bir başkasına karşı daha savunmasız olduğu söyleniyor. sıfır gün ayrıcalık yükseltme kusurusunucuların uzaktan kök güvenliğini aşmak için sıfır gün cpio ile zincirlenebilir.
Zimbra’nın tehdit aktörleri için popüler bir hedef olması hiçbir şekilde yeni değil. Ağustos ayında ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) uyardı ağları ihlal etmek için yazılımdaki birden fazla kusurdan yararlanan düşmanların sayısı.
