Une vulnérabilité encore non corrigée (CVE-2022-41352) dans Zimbra Collaboration est exploitée par des attaquants pour exécuter du code à distance sur des serveurs vulnérables.
À propos de la vulnérabilité
Zimbra Collaboration (anciennement Zimbra Collaboration Suite) est une suite logicielle de collaboration hébergée dans le cloud qui comprend également un composant de serveur de messagerie et un composant de client Web.
CVE-2022-41352 existe en raison du moteur antivirus Amavis de Zimbra en utilisant la méthode cpio pour analyser les e-mails entrants.
« CVE-2022-41352 est effectivement identique à CVE- 2022-30333 mais utilise un format de fichier différent (.cpio et .tar par opposition à .rar). C’est également un sous-produit d’une vulnérabilité beaucoup plus ancienne (non corrigée), CVE-2015-1197 », a expliqué Ron Bowes, chercheur en sécurité chez Rapid7.
Pour neutraliser le danger d’exploitation de CVE-2022-41352, Synacor (la société développant Zimbra) a conseillé aux administrateurs d’installer un package alternatif appelé pax sur les serveurs concernés et de les redémarrer, afin qu’Amavis peut passer à l’utiliser au lieu de cpio.
« Ce problème sera également résolu dans le prochain patch Zimbra où nous ferons de pax une exigence de Zimbra », ont-ils ajouté, mais n’ont pas précisé quand ce patch sera publié.
Exploitation CVE-2022-41352
Les premiers cas d’exploitation dans la nature ont été signalés début septembre et, quelques jours plus tard, Synacor a partagé la solution de contournement mentionnée ci-dessus.
Si Zimbra s’exécute sur Ubuntu 20.04 ou 18.04, les administrateurs n’ont rien à faire, mais Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8 sont vulnérables aux attaques et doivent implémenter la solution de contournement.< /p>
Jeudi dernier, Rapid7 a publié des informations techniques supplémentaires sur la faille, et le code d’exploitation de preuve de concept partagé et les indicateurs de compromission (IoC) que les défenseurs d’entreprise peuvent utiliser.
Sur le plan de la sécurité, cela a été une mauvaise année pour Zimbra et ses utilisateurs : comme documenté dans cette alerte CISA, cinq autres vulnérabilités ont été exploitées par des attaquants depuis le début de l’année, et maintenant CVE-2022-41352.
« Ce n’est pas vraiment la faute [de Synacor], ils utilisent Amavis qui utilise cpio qui est vulnérable à CVE-2015-1197, mais la surface d’attaque pour les e-mails entrants est ÉNORME. Sans oublier qu’il s’agit de l’une des nombreuses vulnérabilités de cette année qui ont été exploitées dans la nature avant d’être découvertes, ce qui signifie que Zimbra est une cible active pour les méchants », Bowes noté.
« Si vous utilisez toujours Zimbra, vous voudrez peut-être reconsidérer sérieusement. Je parie qu’il y en a d’autres, et ils sont probablement exploités. »
