[MaJ] Vulnérabilité dans Zimbra Collaboration (07 octobre 2022)

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio

Résumé

[MaJ 12 octobre 2022] Un correctif est désormais disponible (cf. section Documentation).

[Publication initiale]

Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécurité mentionnant une vulnérabilité dans l'implémentation de cpio par son moteur d'antivirus (Amavis). L'outil d'extraction d'archive cpio est utilisé par Zimbra dès lors que l'utilitaire pax n'est pas installé*.* Cette vulnérabilité permet à un attaquant non authentifié de téléverser ou écraser un fichier sur le serveur. Par ce biais, l'attaquant à la possibilité de déposer une porte dérobée afin de pouvoir exécuter du code arbitraire à distance sur la machine. En effet, si un attaquant envoie un courriel contenant une archive piégée avec le format .cpio, .rpm ou .tar à une instance de Zimbra ne disposant pas de l'utilitaire pax, alors, lors du processus d'extraction par Amavis la vulnérabilité sera déclenchée.

Le 25 septembre, le NIST NVD attribue à cette vulnérabilité l'immatriculation CVE-2022-41352. Cette vulnérabilité est simple à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges, telle que la CVE-2022-37393, pour prendre le contrôle total de la machine.

Le CERT-FR a connaissance de cas d'exploitation de cette vulnérabilité et de codes d'exploitation publiquement disponibles.

Contournement provisoire

L'éditeur n'a pas publié de correctif pour cette vulnérabilité. Cependant, il est assez aisé de s'en prémunir en installant l'utilitaire pax, disponible via le paquet du même nom, puis en redémarrant l'application Zimbra (les commandes sont détaillées par l'éditeur [1]).

Détection

Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs Zimbra. Il est possible d'obtenir la liste des archives au format .tar, .rpm ou .cpio qui ont été téléversées via la commande suivante : cat /opt/zimbra/log/mailbox.log | grep -i -e ".*FileUploadServlet.*name=.*\(.cpio\|.tar\|.rpm\),". Ces archives devront ensuite être analysées pour tenter d'identifier des tentatives d'exploitation de la vulnérabilité. Cependant, un attaquant peut dissimuler ses traces dans le cas où il a réalisé une élévation de privilège par le biais d'une autre vulnérabilité.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information.