Zimbra Collaboration Suite (ZCS)’de bulunan zafiyetten etkilenen ve saldırıya uğran sunucu sayısının 900’ü geçtiği belirtildi.
Yapılan araştırmalar Zimbra Collaboration Suite RCE’deki zafiyetin aktif olarak kullanıldığını gösteriyor. Zafiyet, CVE-2022-41352 olarak izleniyor ve CVSS v3 puanı: 9.8 almış durumda. Zafiyetin istismar edilmesi bir saldırganın “Amavis” (e-posta güvenlik sistemi) aracılığıyla rastgele dosyalar yüklemesine olanak tanıyor ve Zimbra web root üzerine yazmasına, shell kodunu yerleştirmesine ve diğer kullanıcıların hesaplarına erişmesine izin veriyor.
Güvenlik açığının temel nedeni, Amavis bir dosyayı virüslere karşı taradığında arşivleri çıkarmak için ‘cpio’ dosya arşivleme programını kullanması. cpio bileşeninde, bir saldırganın Zimbra tarafından erişilebilen bir dosya sisteminde herhangi bir yerden çıkarılabilen arşivler oluşturmasına izin veriyor. Zimbra sunucusuna bir e-posta gönderildiğinde, Amavis güvenlik sistemi içeriğinde bir virüs taraması gerçekleştirmek için arşivi çıkarıyor. Ancak özel olarak hazırlanmış bir .cpio, .tar veya .rpm arşivini çıkarırsa içerik Zimbra web root dizinine çıkarıyor. Saldırgan bu güvenlik açığını kullanarak web shell Zimbra root dizinine dağıtarak sunucuya etkin bir şekilde shell erişimi verebiliyor.
Zimbra, kullanıcılarının arşivleme programı olan Pax’ı yüklemelerini ve güvenlik açığı bulunan bileşen olan cpio’yu değiştirmek için Zimbra sunucularını yeniden başlatmaları konusunda uyardı. Ubuntu sunucularının çoğu Zimbra’ya bağlı olduğu için pax paketinin zaten kurulmuş olması gerekiyor. CentOS’taki bir paketleme değişikliği nedeniyle, pax’in yüklenmesi gerekiyor.
Güvenlik açığı aktif olarak istismar edildi
Bu güvenlik açığı Eylül ayından bu yana aktif olarak kullanılıyor olsa da, Rapid7 tarafından hazırlanan yeni bir rapor güvenlik açığının için PoC yayınlandığını belirtiyor. Rapid7 tarafından yapılan testler, resmi olarak Zimbra tarafından desteklenen birçok Linux dağıtımının hala Pax’i varsayılan olarak yüklemediğini ve bu sistemlerin saldırılara açık olduğu belirtildi. Bu dağıtımlar Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8. Ubuntu’nun eski LTS sürümleri, 18.04 ve 20.04, Pax’ı içerir, ancak paket 22.04’te kaldırılmış durumda.
Volexity araştırmacıları, CVE-2022-41352’den yararlanılarak ele geçirilen sunucuların sayısının 1.600’ü geçtiği düşünüyor.
Güvenlik uzmanları, tüm güncellemelerinin yapılması ve mitigate yöntemlerinin uygulanmasını tavsiye etti.
Kaynak: bleepingcomputer.com