Une vulnérabilité d’exécution de code non corrigée dans le logiciel Zimbra Collaboration est activement exploitée par des attaquants utilisant les attaques contre des serveurs de porte dérobée.
Les attaques ont commencé au plus tard le 7 septembre, lorsqu’un client de Zimbra a signalé quelques jours plus tard qu’un serveur exécutant le moteur de filtrage de spam Amavis de la société avait traité un e-mail contenant une pièce jointe malveillante. En quelques secondes, le scanner a copié un fichier Java malveillant sur le serveur, puis l’a exécuté. Avec cela, les attaquants avaient installé un shell Web, qu’ils pouvaient ensuite utiliser pour se connecter et prendre le contrôle du serveur.
Zimbra n’a pas encore publié de correctif corrigeant la vulnérabilité. Au lieu de cela, la société a publié ce guide qui conseille aux clients de s’assurer qu’un archiveur de fichiers appelé pax est installé. À moins que pax ne soit installé, Amavis traite les pièces jointes entrantes avec cpio, un autre archiveur qui présente des vulnérabilités connues qui n’ont jamais été corrigées.
« Si le paquet pax n’est pas installé, Amavis reviendra à l’utilisation de cpio », a écrit Barry de Graaff, employé de Zimbra. « Malheureusement, le repli est mal implémenté (par Amavis) et permettra à un attaquant non authentifié de créer et d’écraser des fichiers sur le serveur Zimbra, y compris la racine Web Zimbra. »
Le message a ensuite expliqué comment installer pax. L’utilitaire est chargé par défaut sur les distributions Ubuntu de Linux, mais doit être installé manuellement sur la plupart des autres distributions. La vulnérabilité Zimbra est suivie comme CVE-2022-41352.
La vulnérabilité zero-day est un sous-produit de CVE-2015-1197, une vulnérabilité de traversée de répertoire connue dans cpio. Des chercheurs de la société de sécurité Rapid7 ont récemment déclaré que la faille n’est exploitable que lorsque Zimbra ou une autre application secondaire utilise cpio pour extraire des archives non fiables.
Le chercheur de Rapid7, Ron Bowes, a écrit :
Pour exploiter cette vulnérabilité, un attaquant enverrait un e-mail à
.cpio
,.tar
ou.rpm
à un serveur affecté. Quand Amavis l’inspecte à la recherche de logiciels malveillants, il utilisecpio
pour extraire le fichier. Depuiscpio
n’a pas de mode où il peut être utilisé en toute sécurité sur des fichiers non fiables, l’attaquant peut écrire dans n’importe quel chemin du système de fichiers auquel l’utilisateur Zimbra peut accéder. Le résultat le plus probable est que l’attaquant plante un shell dans la racine Web pour obtenir l’exécution de code à distance, bien que d’autres voies existent probablement.
Bowes a ensuite précisé que deux conditions doivent exister pour CVE-2022-41352 :
- Une version vulnérable de
cpio
doit être installé, ce qui est le cas sur pratiquement tous les systèmes (voir CVE-2015-1197)- La
pax
l’utilité doit ne pas être installé, comme Amavis préfèrepax
etpax
n’est pas vulnérable
Bowes a déclaré que CVE-2022-41352 est « effectivement identique » à CVE-2022-30333, une autre vulnérabilité de Zimbra qui a fait l’objet d’un exploit actif il y a deux mois. Alors que les exploits CVE-2022-41352 utilisent des fichiers basés sur les formats de compression cpio et tar, les anciennes attaques exploitaient les fichiers tar.
Dans le message du mois dernier, de Graaff de Zimbra a déclaré que la société prévoyait de faire du pax une exigence de Zimbra. Cela supprimera la dépendance à cpio. En attendant, cependant, la seule option pour atténuer la vulnérabilité est d’installer pax puis de redémarrer Zimbra.
Même dans ce cas, au moins certains risques, théoriques ou autres, peuvent subsister, ont averti les chercheurs de la société de sécurité Flashpoint.
« Pour les instances de Zimbra Collaboration, seuls les serveurs sur lesquels le package ‘pax’ n’était pas installé ont été affectés », ont averti les chercheurs de l’entreprise. « Mais d’autres applications peuvent également utiliser cpio sur Ubuntu. Cependant, nous ne connaissons actuellement pas d’autres vecteurs d’attaque. Étant donné que le fournisseur a clairement marqué CVE-2015-1197 dans la version 2.13 comme corrigé, les distributions Linux doivent gérer avec soin ces correctifs de vulnérabilité – et pas seulement les annuler. »