Zimbra’nın kurumsal işbirliği yazılımındaki ve e-posta platformundaki ciddi bir uzaktan kod yürütme güvenlik açığı, sorunu gidermek için şu anda herhangi bir yama bulunmadığından aktif olarak istismar ediliyor.
CVE-2022-41352 olarak atanan eksiklik, CVSS 9.8 kritik önem derecesine sahiptir ve saldırganların rastgele dosyalar yüklemesi ve etkilenen kurulumlarda kötü niyetli eylemler gerçekleştirmesi için bir yol sağlar.
Siber güvenlik firması Rapid7 bu hafta yayınlanan bir analizde, “Güvenlik açığı, Zimbra’nın antivirüs motorunun (Amavis) gelen e-postaları taradığı yöntemden (cpio) kaynaklanıyor” dedi.
Zimbra forumlarında paylaşılan ayrıntılara göre, sorunun Eylül 2022’nin başından beri kötüye kullanıldığı söyleniyor. Henüz bir düzeltme yayınlanmamış olsa da Zimbra, kullanıcıları “pax” yardımcı programını yüklemeye ve Zimbra hizmetlerini yeniden başlatmaya çağırıyor.
“Pax paketi kurulmazsa, Amavis cpio kullanmaya geri dönecek, ne yazık ki geri dönüş kötü bir şekilde uygulanıyor (Amavis tarafından) ve kimliği doğrulanmamış bir saldırganın Zimbra webroot dahil olmak üzere Zimbra sunucusunda dosyalar oluşturmasına ve üzerine yazmasına izin verecek. ” dedi şirket geçen ay.
Yazılımın 8.8.15 ve 9.0 sürümlerinde bulunan güvenlik açığı, Ubuntu haricinde Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8 gibi birçok Linux dağıtımını etkiliyor. bu pax varsayılan olarak zaten yüklenmiştir.
Kusurun başarılı bir şekilde kullanılması, bir saldırganın bir arşiv dosyasını (CPIO veya TAR) hassas bir sunucuya e-postayla göndermesini gerektirir; bu sunucu daha sonra Amavis tarafından içeriğini çıkarmak için cpio dosya arşivleyici yardımcı programı kullanılarak denetlenir.
Rapid7 araştırmacısı Ron Bowes, “cpio’nun güvenilmeyen dosyalarda güvenle kullanılabileceği bir modu olmadığından, saldırgan, dosya sistemindeki Zimbra kullanıcısının erişebileceği herhangi bir yola yazabilir.” Dedi. “En olası sonuç, saldırganın, başka yollar muhtemelen mevcut olmasına rağmen, uzaktan kod yürütme elde etmek için web köküne bir kabuk yerleştirmesidir.”
Zimbra, güvenlik açığının cpio bağımlılığını ortadan kaldıracak ve bunun yerine pax’i bir gereklilik haline getirecek bir sonraki Zimbra yamasında ele alınmasını beklediğini söyledi. Ancak, düzeltmenin ne zaman kullanıma sunulacağı konusunda belirli bir zaman aralığı sunmadı.
Rapid7 ayrıca, CVE-2022-41352’nin, RARlab’ın unRAR yardımcı programının Unix sürümünde bu Haziran ayının başlarında ortaya çıkan bir yol geçiş hatası olan CVE-2022-30333 ile “etkili bir şekilde aynı” olduğunu belirtti; tek fark, yeni kusurun kaldıraç etkisi yaratmasıydı. RAR yerine CPIO ve TAR arşiv biçimleri.
Daha da rahatsız edici bir şekilde, Zimbra’nın, sunucuların uzaktan kök güvenliğini sağlamak için cpio sıfır-gün ile zincirlenebilecek başka bir sıfır gün ayrıcalık yükseltme kusuruna karşı daha savunmasız olduğu söyleniyor.
Zimbra’nın tehdit aktörleri için popüler bir hedef olması hiçbir şekilde yeni değil. Ağustos ayında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ağları ihlal etmek için yazılımdaki birden fazla kusuru kullanan rakipleri uyardı.