
Neopravená zraniteľnosť pri spúšťaní kódu v softvéri na spoluprácu Zimbra je aktívne využívaná útočníkmi pomocou útokov na servery typu backdoor.
Útoky začali po 7. septembri, keď a Informoval o tom zákazník Zimbry O niekoľko dní neskôr server so systémom Amavis na filtrovanie spamu spoločnosti spracoval e-mail obsahujúci škodlivú prílohu. V priebehu niekoľkých sekúnd skener skopíruje škodlivý súbor Java na server a potom ho spustí. Útočníci si tak nainštalovali webový shell, pomocou ktorého sa mohli prihlásiť a prevziať kontrolu nad serverom.
Zimbra ešte nevydala opravu opravujúcej túto chybu zabezpečenia. Namiesto toho spoločnosť zverejnila Tento návod Odporúča zákazníkom, aby zabezpečili, že je nainštalovaný archivátor súborov známy ako PAX. Ak Pax nie je nainštalovaný, Amavis spracuje prichádzajúce prílohy pomocou cpio, alternatívneho archivátora so známymi zraniteľnosťami, ktoré nikdy neboli opravené.
„Ak sa balík pax nenainštaluje, Amavis sa vráti k používaniu cpio,“ napísal zamestnanec Zimbry Barry de Graaf. “Bohužiaľ, záložné riešenie je zle implementované (spoločnosťou Amavis) a umožnilo by neautorizovanému útočníkovi vytvárať a prepisovať súbory na serveri Zimbra s webrootom Zimbra.”
Príspevok pokračoval vysvetlením, ako nainštalovať pax. Pomôcka je štandardne načítaná v distribúciách Ubuntu Linuxu, ale vo väčšine ostatných distribúcií musí byť nainštalovaná manuálne. Zraniteľnosť Zimbra je sledovaná ako CVE-2022-41352.
Zraniteľnosť zero-day je vedľajším produktom CVE-2015-1197, známa zraniteľnosť týkajúca sa prechodu cez adresár v cpio. Výskumníci z bezpečnostnej firmy Rapid7 povedal nedávno Chybu je možné využiť iba vtedy, keď Zimbra alebo iná sekundárna aplikácia používa cpio na extrahovanie nedôveryhodných archívov.
Výskumník Rapid7 Ron Bowes napísal:
Aby útočník zneužil túto zraniteľnosť, poslal by e-mail
.cpio
,.tar
alebo.rpm
na postihnutom serveri. Keď Amavis skontroluje, či neobsahuje malvér, použijecpio
Na extrahovanie súborov. odcpio
Neexistuje žiadny režim, v ktorom by sa dal bezpečne použiť na nedôveryhodné súbory, čo útočníkovi umožňuje zapisovať do akejkoľvek cesty v systéme súborov, ku ktorej má používateľ Zimbra prístup. Možným výsledkom pre útočníka je umiestniť shell na webový koreň, aby získal vzdialené spustenie kódu, hoci pravdepodobne existujú aj iné prostriedky.
Bowes ďalej objasnil, že na existenciu CVE-2022-41352 musia existovať dve podmienky:
- Slabšia verzia tohto
cpio
musí byť nainštalovaný, čo je v podstate každý systém (viď CVE-2015-1197)- The
pax
Potrebné sú inžinierske siete č Nainštaluje sa, ak sa Amavis páčipax
Apax
nie slabý
Bowes povedal, že CVE-2022-41352 je „funkčne identický“ s CVE-2022-30333, ďalšou zraniteľnosťou Zimbry, ktorá Pri aktívnom využívaní Pred dvoma mesiacmi. Zatiaľ čo exploity CVE-2022-41352 používajú súbory založené na komprimačných formátoch cpio a tar, staršie útoky využívajú súbory tar.
V príspevku minulý mesiac De Graaf zo Zimbry uviedol, že spoločnosť plánuje zabaliť požiadavky Zimbry. Tým sa odstráni závislosť na cpio. Medzitým je však jedinou možnosťou, ako zmierniť zraniteľnosť, nainštalovať pax a potom reštartovať Zimbru.
Napriek tomu môže existovať aspoň nejaké riziko, teoretické alebo iné, tvrdia výskumníci z bezpečnostnej firmy Flashpoint varovať.
“V prípade Zimbra Collaboration boli ovplyvnené iba servery, ktoré nemali nainštalovaný balík ‘pax’,” varovali výskumníci spoločnosti. “Ale iné aplikácie môžu tiež používať cpio na Ubuntu. V súčasnosti však nevieme o iných vektoroch útokov. Keďže predajca jasne identifikoval CVE-2015-1197 ako špecifický vo verzii 2.13, linuxové distribúcie by mali tieto záplaty zraniteľnosti starostlivo spravovať – a len vráťte ich späť.” Nie.”