Một lỗ hổng thực thi mã từ xa nghiêm trọng trong phần mềm cộng tác doanh nghiệp và nền tảng email của Zimbra đang được khai thác tích cực, hiện chưa có bản vá để khắc phục sự cố.
Thiếu sót, được gán CVE-2022-41352, mang xếp hạng mức độ nghiêm trọng nghiêm trọng của CVSS 9.8, cung cấp một con đường cho những kẻ tấn công tải lên các tệp tùy ý và thực hiện các hành động độc hại trên các cài đặt bị ảnh hưởng.
“Lỗ hổng bảo mật là do phương pháp (cpio) trong đó công cụ chống vi-rút của Zimbra (Amavis) quét các email gửi đến”, công ty an ninh mạng Rapid7 cho biết trong một phân tích được công bố trong tuần này.
Vấn đề được cho là đã bị lạm dụng từ đầu tháng 9 năm 2022, theo các chi tiết được chia sẻ trên các diễn đàn Zimbra. Trong khi bản sửa lỗi vẫn chưa được phát hành, Zimbra đang kêu gọi người dùng cài đặt tiện ích “pax” và khởi động lại các dịch vụ của Zimbra.
“Nếu gói pax không được cài đặt, Amavis sẽ quay trở lại sử dụng cpio, rất tiếc là dự phòng được triển khai kém (bởi Amavis) và sẽ cho phép kẻ tấn công chưa được xác thực tạo và ghi đè các tệp trên máy chủ Zimbra, bao gồm cả webroot Zimbra “, công ty cho biết vào tháng trước.
Lỗ hổng bảo mật, có trong phiên bản 8.8.15 và 9.0 của phần mềm, ảnh hưởng đến một số bản phân phối Linux như Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 và CentOS 8, ngoại trừ Ubuntu do thực tế pax đó đã được cài đặt theo mặc định.
Việc khai thác thành công lỗ hổng yêu cầu kẻ tấn công gửi tệp lưu trữ (CPIO hoặc TAR) qua email đến một máy chủ nhạy cảm, sau đó được Amavis kiểm tra bằng cách sử dụng tiện ích lưu trữ tệp cpio để trích xuất nội dung của nó.
Nhà nghiên cứu Ron Bowes của Rapid7 cho biết: “Vì cpio không có chế độ nào mà nó có thể được sử dụng an toàn trên các tệp không đáng tin cậy, nên kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập”. “Kết quả có thể xảy ra nhất là kẻ tấn công đặt một trình bao trong thư mục gốc của web để thực thi mã từ xa, mặc dù có thể tồn tại những cách khác.”
Zimbra cho biết họ hy vọng lỗ hổng bảo mật sẽ được giải quyết trong bản vá Zimbra tiếp theo, bản vá này sẽ loại bỏ sự phụ thuộc vào cpio và thay vào đó đưa pax trở thành một yêu cầu. Tuy nhiên, nó chưa đưa ra khung thời gian cụ thể về thời điểm có bản sửa lỗi.
Rapid7 cũng lưu ý rằng CVE-2022-41352 “giống hệt” với CVE-2022-30333, một lỗ hổng truyền qua đường dẫn trong phiên bản Unix của tiện ích unRAR của RARlab được đưa ra ánh sáng vào đầu tháng 6 này, sự khác biệt duy nhất là lỗ hổng mới này tận dụng Định dạng lưu trữ CPIO và TAR thay vì RAR.
Rắc rối hơn nữa, Zimbra được cho là còn dễ bị tấn công bởi một lỗ hổng leo thang đặc quyền zero-day khác, có thể bị mắc xích với cpio zero-day để đạt được thỏa hiệp gốc từ xa của các máy chủ.
Thực tế là Zimbra đã trở thành một mục tiêu phổ biến cho các tác nhân đe dọa không có nghĩa là mới. Vào tháng 8, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về việc các đối thủ khai thác nhiều lỗ hổng trong phần mềm để xâm phạm mạng.
