Неисправленная уязвимость выполнения кода в программном обеспечении Zimbra Collaboration активно эксплуатируется злоумышленниками, использующими атаки на бэкдор-серверы.
Атаки начались не позднее 7 сентября, когда через несколько дней клиент Zimbra сообщил, что сервер, на котором запущен механизм фильтрации спама Amavis, обработал электронное письмо, содержащее вредоносное вложение. В течение нескольких секунд сканер скопировал вредоносный файл Java на сервер, а затем запустил его. При этом злоумышленники установили веб-оболочку, которую затем могли использовать для входа в систему и получения контроля над сервером.
Zimbra еще не выпустила патч, устраняющий уязвимость. Вместо этого компания опубликовала это руководство, в котором клиентам рекомендуется установить файловый архиватор, известный как pax. Если pax не установлен, Amavis обрабатывает входящие вложения с помощью cpio, альтернативного архиватора, который имеет известные уязвимости, которые так и не были устранены.
«Если пакет pax не установлен, Amavis вернется к использованию cpio», — написал сотрудник Zimbra Барри де Грааф. «К сожалению, резервный вариант реализован плохо (Amavis) и позволит злоумышленнику, не прошедшему проверку подлинности, создавать и перезаписывать файлы на сервере Zimbra, включая веб-корневой каталог Zimbra».
Далее в сообщении объяснялось, как установить pax. Утилита загружается по умолчанию в дистрибутивах Ubuntu Linux, но в большинстве других дистрибутивов ее необходимо устанавливать вручную. Уязвимость Zimbra отслеживается как CVE-2022-41352.
Уязвимость нулевого дня является побочным продуктом CVE-2015-1197, известной уязвимости обхода каталогов в cpio. Исследователи компании Rapid7, занимающейся безопасностью, недавно заявили, что уязвимость можно использовать только тогда, когда Zimbra или другое вторичное приложение использует cpio для извлечения ненадежных архивов.
Исследователь Rapid7 Рон Боуз писал:
Чтобы воспользоваться этой уязвимостью, злоумышленник отправляет электронное письмо
.cpio,.tarили же.rpmна затронутый сервер. Когда Amavis проверяет его на наличие вредоносных программ, он используетcpioчтобы извлечь файл. Сcpioне имеет режима, в котором его можно было бы безопасно использовать для ненадежных файлов, злоумышленник может записать любой путь в файловой системе, к которому может получить доступ пользователь Zimbra. Наиболее вероятным исходом для злоумышленника является установка оболочки в корневом каталоге веб-сайта для удаленного выполнения кода, хотя, вероятно, существуют и другие возможности.
Далее Боуз пояснил, что для CVE-2022-41352 должны существовать два условия:
- Уязвимая версия
cpioдолжен быть установлен, что имеет место практически на каждой системе (см. CVE-2015-1197)paxполезность должна нет быть установлен, как предпочитает Amavispaxа такжеpaxне уязвим
Боуз сказал, что CVE-2022-41352 «фактически идентична» CVE-2022-30333, еще одной уязвимости Zimbra, которая активно использовалась два месяца назад. В то время как эксплойты CVE-2022-41352 используют файлы, основанные на форматах сжатия cpio и tar, более старые атаки использовали файлы tar.
В сообщении, опубликованном в прошлом месяце, де Грааф из Zimbra сообщил, что компания планирует сделать pax обязательным требованием Zimbra. Это устранит зависимость от cpio. Однако пока единственный способ смягчить уязвимость — установить pax и перезапустить Zimbra.
Даже в этом случае может остаться по крайней мере некоторый риск, теоретический или иной, предупреждают исследователи из охранной фирмы Flashpoint.
«В экземплярах Zimbra Collaboration пострадали только серверы, на которых не был установлен пакет pax», — предупредили исследователи компании. «Но другие приложения также могут использовать cpio в Ubuntu. Однако в настоящее время мы не знаем о других векторах атак. Поскольку поставщик четко пометил CVE-2015-1197 в версии 2.13 как исправленную, дистрибутивы Linux должны тщательно обрабатывать эти исправления уязвимостей — и не просто вернуть их».
