Gli hacker stanno sfruttando attivamente una vulnerabilità senza patch in Zimbra Collaboration Suite (ZCS).
La vulnerabilità zero-day è tracciata come CVE-2022-41352, valutata critica (punteggio CVSS v3: 9,8) e consente a un utente malintenzionato di caricare file arbitrari tramite “Amavis” (sistema di sicurezza della posta elettronica).
Lo sfruttamento riuscito della vulnerabilità consente a un hacker di sovrascrivere il webroot Zimbra, impiantare la shellcode e accedere agli account di altri utenti.
La vulnerabilità è stata scoperta come zero-day all’inizio di settembre, quando gli amministratori hanno pubblicato i dettagli degli attacchi nei forum di Zimbra.
La causa principale della vulnerabilità è l’utilizzo dell’utility di archiviazione dei file “cpio” per estrarre gli archivi quando Amavis esegue la scansione di un file alla ricerca di virus.
Il componente cpio ha un bug che consente a un hacker di creare archivi che possono essere estratti ovunque su un filesystem accessibile a Zimbra.
Quando un’e-mail viene inviata a un server Zimbra, il sistema di sicurezza Amavis estrarrà l’archivio per eseguire una scansione antivirus del suo contenuto. Tuttavia, se estrae appositamente file .cpio, .tar o .rpm, il contenuto potrebbe essere estratto nella webroot di Zimbra.
Sfruttando questa vulnerabilità, un hacker potrebbe distribuire Web shells nella root di Zimbra, fornendo in modo efficace l’accesso della shell al server.
Zimbra ha rilasciato un avviso di sicurezza il 14 settembre per avvertire gli amministratori di sistema di installare Pax, un portable archiving utility, e di riavviare i loro server Zimbra per sostituire cpio, che è il componente vulnerabile.
“Se il pacchetto pax non è installato, Amavis ricadrà sull’utilizzo di cpio, sfortunatamente il fallback è implementato male (da Amavis) e consentirà a un utente malintenzionato non autenticato di creare e sovrascrivere file sul server Zimbra, incluso il webroot Zimbra “.
“Per la maggior parte dei server Ubuntu il pacchetto pax dovrebbe essere già installato mentre su CentOS, a causa di una modifica del pacchetto, c’è un’alta probabilità che pax non sia installato. “
L’installazione di Pax è sufficiente per mitigare il problema in quanto Amavis lo preferisce a cpio in automatico, quindi non ci sarà bisogno di alcuna configurazione.
Sebbene la vulnerabilità sia stata sfruttata attivamente da settembre, un nuovo rapporto di Rapid7 fa nuovamente luce sul suo sfruttamento attivo e include un exploit PoC che consente agli aggressori di creare facilmente archivi dannosi.
Peggio ancora, i test condotti da Rapid7 mostrano che molte distribuzioni Linux ufficialmente supportate da Zimbra non installano ancora Pax per impostazione predefinita, rendendo queste installazioni vulnerabili al bug.
Queste distribuzioni includono Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 e CentOS 8. Le versioni LTS precedenti di Ubuntu, 18.04 e 20.04, includono Pax, ma il pacchetto è stato rimosso in 22.04.
Poiché gli exploit proof-of-concept (PoC) sono pubblicamente disponibili da un po’, il rischio di non implementare la soluzione alternativa è terribile.
“Oltre a questa vulnerabilità cpio zero-day, Zimbra soffre anche di una vulnerabilità di escalation dei privilegi zero-day, che ha un modulo Metasploit. Ciò significa che questo zero-day in cpio può portare direttamente a una remote root compromise di Zimbra Collaboration Suite server”
Zimbra prevede di mitigare questo problema in modo decisivo deprecando cpio e rendendo Pax un prerequisito per Zimbra Collaboration Suite, rafforzandone così l’uso.