Bir yama geliştirilirken sağlanan azaltma kılavuzu
Zimbra’daki sıfır gün uzaktan kod yürütme (RCE) güvenlik açığı, vahşi ortamda aktif olarak istismar ediliyor.
Hata, Eylül ayı sonlarında CVE-2022-41352 izleyicisine atandı. 9.8’lik bir CVSS önem puanı yayınladı, kritik sorundan doğrudan yazılımın köküne bir kabuk yerleştirmek, RCE elde etmek ve saldırganların savunmasız bir sistemde hasara yol açmasını sağlamak için kullanılabilir.
Bir zamanlar Zimbra İşbirliği Paketi (ZCS) olarak bilinen Zimbra, açık kaynaklı bir e-posta paketidir. Yazılım, milyonlarca kullanıcı tarafından güvenilmektedir ve kurumsal ve KOBİ e-posta ve işbirliği araçlarını yönetmek için tasarlanmıştır.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Rapid7’nin AttackerKB projesine göre, CVE-2022-41352, “cpio yardımcı programının güvenli olmayan kullanımından, özellikle Zimbra’nın antivirüs motorunun (Amavis) gelen e-postaları taramak için savunmasız cpio yardımcı programını kullanmasından kaynaklanan” bir RCE’dir.
Başarılı bir saldırı başlatmak için, bir tehdit aktörünün güvenlik açığı bulunan bir sunucuya bir , veya dosya e-postası göndermesi gerekir. Amavis daha sonra mesajı kötü amaçlı yazılımlara karşı tarar ve içeriğini çıkarmak için cpio dosya yardımcı programını kullanır.
Ancak, saldırganların bir hedef klasöre yazmak için yararlanabileceği veya Rapid7’nin dediği gibi “dosya sistemindeki Zimbra kullanıcısının erişebileceği herhangi bir yola yazabileceği” bir ‘açıklık’ mevcuttur.
Örneğin, bir saldırgan içeri girdikten sonra e-postaları çıkarabilir, kullanıcı hesaplarını kurcalayabilir, bilgileri silebilir veya İş E-posta Uzlaşması (BEC) dolandırıcılığı yapabilir.
Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8 yapıları savunmasızdır.
‘Etkili olarak özdeş’
Rapid7 araştırmacıları, CVE-2022-41352’nin, RarLab’ın unrar ikili dosyasındaki bir yol geçiş hatası olan ve aynı zamanda Zimbra’da bir RCE’yi tetikleyen CVE-2022-30333 ile “etkili bir şekilde aynı” olduğunu belirtti. Tek fark, dosya türü ( yerine ) olarak görünmektedir.
Rapid7 araştırmacısı Ron Bowes’e göre, güvenlik açığı, 2019’da yamalanan bir hata olan CVE-2015-1194 için bir istismar yolu. Ancak, bazı dağıtımların istemeden düzeltmeyi kaldırdığı görülüyor.
Bir Zimbra forum gönderisi, güvenlik açığından vahşi ortamda aktif olarak yararlanıldığını gösteriyor. Kavram kanıtı (PoC) istismar kodu yayınlandı.
Zimbra, güvenlik açığını kabul etti ve bir düzeltmenin geliştirildiğini söyledi. Bu arada Zimbra, kullanıcıları geçici bir çözüm olarak pax paketini hemen yüklemeye ve Zimbra’yı yeniden başlatmaya çağırıyor.
Pax, arşivlenmiş dosya içeriğini okumak veya yazmak için kullanılır ve bu istismara karşı savunmasız değildir – ancak ne yazık ki Pax varsayılan olarak dahil değildir. Pax kurulmamışsa, Amavis cpio kullanmaya başvuracak ve Zimbra, ilk etapta güvenlik açığını oluşturan bu sürecin “zayıf uygulanması” olduğunu söylüyor.
Zimbra, cpio bağımlılığını ortadan kaldırmayı ve Pax’i bir gereklilik haline getirmeyi amaçlıyor.
Ubuntu kullanıcıları için daha iyi haberler var – Pax, Ubuntu 20.04’te varsayılan olarak yüklenir ve Ubuntu 18.04’te cpio için özel bir yama koruma sağlar.
Günlük Swig ek sorularla Zimbra’ya ulaştı ve haber aldığımızda bu hikayeyi güncelleyeceğiz.
ÖNERİLEN Kod olarak politika yaklaşımı, “bulutta yerel” güvenlik risklerine karşı koyar