RCE-fejl i Zimbra Collaboration Suite

Af Eskil Sørensen, 10/10/22

Ikke-patchet remote code execution-fejl er pt. under aktiv udnyttelse.

En kritisk RCE-sårbarhed i Zimbras software til virksomhedssamarbejde og e-mail-platform bliver pt. aktivt udnyttet, uden at der foreligger et patch til at afhjælpning af problemet.

Det skriver The Hacker News og Bleeping Computer m.fl. på baggrund af et blogindlæg fra Rapid7.

Sårbarheden har id’et CVE-2022-41352 og en score på CVSS 9.8. Den høje score er et udtryk for, at sårbarheden giver angribere mulighed for at uploade vilkårlige filer gennem e-mailsikkerhedssystemet ’Amavis’ og udføre ondsindede handlinger på berørte installationer, som det hedder. Med dette kan en angriber overskrive Zimbra webroot, installere shellcode og få adgang til andre brugeres konti.

Sårbarheden blev ifølge Bleeping Computer opdaget som en 0-dagssårbarhed i starten af september, da administratorer postede detaljer om angreb på Zimbra-fora.

Mens en rettelse endnu ikke er frigivet, opfordres brugerne til at installere ’pax’-værktøjet og genstarte Zimbra-tjenesterne. Hvis pax-pakken ikke er installeret, vil Amavis bruge filarkiveringsværktøjet cpio. Det er denne mekanisme, der gør det muligt for en en uautoriseret angriber at oprette og overskrive filer på Zimbra-serveren, inklusive Zimbra webroot. 

Sårbarheden findes i version 8.8.15 og 9.0 af softwaren og påvirker flere Linux-distributioner såsom Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 og CentOS 8. Undtagelsen er Ubuntu eftersom pax allerede er installeret som standard.

En vellykket udnyttelse af fejlen kræver ifølge The Hacker News, at en angriber sender en arkivfil (CPIO eller TAR) til en modtagelig server, som derefter inspiceres af Amavis ved hjælp af cpio-filarkiveringsværktøjet til at udpakke dens indhold.

Det forventes, ifølge Zimbra, sårbarheden bliver rettet til den næste softwarepatch, som vil fjerne afhængigheden af ​​cpio og i stedet gøre pax til et krav. Det fremgår dog ikke, hvornår rettelsen foreligger. 

The Hacker News skriver afslutningsvis, at Zimbra er et populært mål for trusselsaktører. Således advarede CISA i august mod angribere der udnytter flere fejl i softwaren.

Links:

https://www.bleepingcomputer.com/news/security/hackers-exploiting-unpatched-rce-bug-in-zimbra-collaboration-suite/
https://flashpoint.io/blog/zero-day-vulnerability-zimbra-collaboration-cpio/
https://thehackernews.com/2022/10/hackers-exploiting-unpatched-rce-flaw.html
https://securityaffairs.co/wordpress/136800/hacking/zimbra-collaboration-suite-rce.html

https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/

Keywords: 
zimbra
RCE-fejl