Một lỗ hổng thực thi mã từ xa nghiêm trọng trong phần mềm cộng tác doanh nghiệp và nền tảng email của Zimbra đang được khai thác tích cực, hiện không có bản vá nào có sẵn để khắc phục sự cố.
Thiếu sót, được chỉ định CVE-2022-41352, mang xếp hạng nghiêm trọng là CVSS 9.8, cung cấp một đường dẫn cho những kẻ tấn công tải lên các tệp tùy ý và thực hiện các hành động độc hại trên các cài đặt bị ảnh hưởng.
"Lỗ hổng bảo mật là do phương pháp (cpio) trong đó công cụ chống vi-rút của Zimbra (Amavis) quét các email đến," công ty an ninh mạng Rapid7 cho biết trong một phân tích được công bố trong tuần này.
Vấn đề được cho là đã bị lạm dụng kể từ đầu tháng 7 năm 2022, theo chi tiết được chia sẻ trên các diễn đàn Zimbra. Trong khi bản sửa lỗi vẫn chưa được phát hành, công ty dịch vụ phần mềm đang kêu gọi người dùng cài đặt tiện ích "pax" và khởi động lại các dịch vụ Zimbra.
"Nếu gói pax không được cài đặt, Amavis sẽ quay trở lại sử dụng cpio, thật không may, dự phòng được triển khai kém (bởi Amavis) và sẽ cho phép kẻ tấn công không được xác thực tạo và ghi đè lên các tệp trên máy chủ Zimbra, bao gồm cả Zimbra webroot," công ty cho biết vào tháng trước.
Lỗ hổng bảo mật, có trong các phiên bản 8.8.15 và 9.0 của phần mềm, ảnh hưởng đến một số bản phân phối Linux như Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 và CentOS 8, ngoại trừ Ubuntu do thực tế là pax đã được cài đặt theo mặc định.
Việc khai thác thành công lỗ hổng đòi hỏi kẻ tấn công phải gửi tệp lưu trữ (CPIO hoặc TAR) qua email đến một máy chủ dễ bị ảnh hưởng, sau đó được Amavis kiểm tra bằng cách sử dụng tiện ích lưu trữ tệp cpio để trích xuất nội dung của nó.
"Vì cpio không có chế độ nào có thể được sử dụng an toàn trên các tệp không đáng tin cậy, kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập", nhà nghiên cứu Ron Bowes của Rapid7 cho biết. "Kết quả có khả năng nhất là kẻ tấn công sẽ cài đặt một shell trong thư mục web để đạt được thực thi mã từ xa, mặc dù các con đường khác có thể tồn tại."
Zimbra cho biết họ hy vọng lỗ hổng sẽ được giải quyết trong bản vá phần mềm tiếp theo, điều này sẽ loại bỏ sự phụ thuộc vào cpio và thay vào đó biến pax thành một yêu cầu. Tuy nhiên, nó đã không đưa ra khung thời gian cụ thể vào thời điểm bản sửa lỗi sẽ có sẵn.
Rapid7 cũng lưu ý rằng CVE-2022-41352 "thực sự giống hệt nhau" với CVE-2022-30333, một lỗ hổng truyền qua đường dẫn trong phiên bản Unix của tiện ích unRAR của RARlab được đưa ra ánh sáng vào đầu tháng XNUMX này, sự khác biệt duy nhất là lỗ hổng mới tận dụng các định dạng lưu trữ CPIO và TAR thay vì RAR.
Đáng lo ngại hơn nữa, Zimbra được cho là dễ bị tổn thương hơn nữa trước một lỗ hổng leo thang đặc quyền zero-day khác, có thể được xâu chuỗi với cpio zero-day để đạt được sự thỏa hiệp root từ xa của các máy chủ.
Thực tế là Zimbra đã trở thành mục tiêu phổ biến cho các tác nhân đe dọa không có nghĩa là mới. Vào tháng 8, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã cảnh báo về việc các đối thủ khai thác nhiều lỗ hổng trong phần mềm để xâm phạm mạng.