Bilgisayar korsanları, yaygın olarak dağıtılan bir web istemcisi ve e-posta sunucusu olan Zimbra İşbirliği Paketi’ndeki (ZCS) yama uygulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanıyor.
Sıfır gün güvenlik açığı şu şekilde izlenir: CVE-2022-41352kritik olarak derecelendirilir (CVSS v3 puanı: 9.8) ve bir saldırganın “Amavis” (e-posta güvenlik sistemi) aracılığıyla rastgele dosyalar yüklemesine izin verir.
Güvenlik açığından başarıyla yararlanılması, bir saldırganın Zimbra web kökünün üzerine yazmasına, kabuk kodunu yerleştirmesine ve diğer kullanıcıların hesaplarına erişmesine olanak tanır.
Güvenlik açığı, yöneticilerin saldırıların ayrıntılarını yayınladığı Eylül ayının başında sıfır gün olarak keşfedildi. Zimbra forumlarında.
cpio’nun güvensiz kullanımından kaynaklanıyor
Güvenlik açığının temel nedeni, Amavis bir dosyayı virüslere karşı taradığında arşivleri çıkarmak için ‘cpio’ dosya arşivleme yardımcı programını kullanmasıdır.
cpio bileşeninde, bir saldırganın Zimbra tarafından erişilebilen bir dosya sisteminde herhangi bir yerden çıkarılabilen arşivler oluşturmasına olanak tanıyan bir kusur vardır.
Bir Zimbra sunucusuna bir e-posta gönderildiğinde, Amavis güvenlik sistemi, içeriğinde bir virüs taraması gerçekleştirmek için arşivi çıkaracaktır. Ancak, özel olarak hazırlanmış bir .cpio, .tar veya .rpm arşivini çıkarırsa, içerik Zimbra web köküne çıkarılabilir.
Saldırgan bu güvenlik açığını kullanarak web kabuklarını Zimbra köküne dağıtarak sunucuya etkin bir şekilde kabuk erişimi verebilir.
Zimbra, 14 Eylül’de sistem yöneticilerini taşınabilir bir arşivleme yardımcı programı olan Pax’ı yüklemeleri ve güvenlik açığı bulunan bileşen olan cpio’yu değiştirmek için Zimbra sunucularını yeniden başlatmaları konusunda uyarmak için bir güvenlik danışma belgesi yayınladı.
“Pax paketi kurulu değilse, Amavis cpio kullanmaya geri dönecek, ne yazık ki geri dönüş kötü bir şekilde uygulanıyor (Amavis tarafından) ve kimliği doğrulanmamış bir saldırganın Zimbra sunucusunda Zimbra webroot dahil olmak üzere dosyalar oluşturmasına ve üzerine yazmasına izin verecek. ” diye uyardı Eylül güvenlik danışmanlığı.
“Ubuntu sunucularının çoğu için, Zimbra’ya bağlı olduğu için pax paketinin zaten kurulmuş olması gerekir. CentOS’taki bir paketleme değişikliği nedeniyle, pax’in yüklenmeme olasılığı yüksektir.”
Amavis bunu otomatik olarak cpio’ya tercih ettiğinden, başka bir yapılandırma gerekmediğinden Pax’i yüklemek sorunu azaltmak için yeterlidir.
Güvenlik açığı aktif olarak istismar edildi
Güvenlik açığı Eylül ayından bu yana aktif olarak kullanılırken, yeni bir Rapid7 tarafından rapor aktif kullanımına bir kez daha ışık tutuyor ve saldırganların kolayca kötü amaçlı arşivler oluşturmasına olanak tanıyan bir PoC açığı içeriyor.
Daha da kötüsü, Rapid7 tarafından yürütülen testler, resmi olarak Zimbra tarafından desteklenen birçok Linux dağıtımının hala Pax’i varsayılan olarak yüklemediğini ve bu kurulumları hataya karşı savunmasız hale getirdiğini gösteriyor.
Bu dağıtımlar Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8’i içerir. Ubuntu’nun eski LTS sürümleri, 18.04 ve 20.04, Pax’ı içerir, ancak paket 22.04’te kaldırılmıştır.
Kavram kanıtı (PoC) açıkları bir süredir herkese açık olduğundan, geçici çözümün uygulanmaması riski çok büyüktür.
“Bu cpio 0 günlük güvenlik açığına ek olarak, Zimbra ayrıca bir Metasploit modülüne sahip 0 günlük bir ayrıcalık yükseltme güvenlik açığından da muzdarip. Bu, cpio’daki bu 0 günlük, doğrudan Zimbra Collaboration Suite’in uzaktan kök güvenliğinin ihlal edilmesine yol açabileceği anlamına geliyor. sunucular,” ayrıca araştırmacıları uyarmak.
Zimbra, cpio’yu kullanımdan kaldırarak ve Pax’i Zimbra Collaboration Suite için bir ön koşul haline getirerek ve böylece kullanımını zorunlu kılarak bu sorunu kararlı bir şekilde azaltmayı planlıyor.
Ancak, mevcut kurulumlar için riskler devam etmektedir, bu nedenle yöneticilerin ZCS sunucularını korumak için derhal harekete geçmeleri gerekir.