Zimbra Collaboration Suite RCE Zafiyeti Aktif Olarak Kullanılıyor, Acil Güncelleme!
Yapılan araştırmalar Zimbra Collaboration Suite RCE’deki zafiyetin aktif olarak kullanıldığını gösteriyor. Zafiyet, CVE-2022-41352 olarak izleniyor ve CVSS v3 puanı: 9.8 almış durumda. Zafiyetin istismar edilmesi bir saldırganın “Amavis” (e-posta güvenlik sistemi) aracılığıyla rastgele dosyalar yüklemesine olanak tanıyor ve Zimbra web root üzerine yazmasına, shell kodunu yerleştirmesine ve diğer kullanıcıların hesaplarına erişmesine izin veriyor.
Güvenlik açığının temel nedeni, Amavis bir dosyayı virüslere karşı taradığında arşivleri çıkarmak için ‘cpio’ dosya arşivleme programını kullanması. cpio bileşeninde, bir saldırganın Zimbra tarafından erişilebilen bir dosya sisteminde herhangi bir yerden çıkarılabilen arşivler oluşturmasına izin veriyor. Zimbra sunucusuna bir e-posta gönderildiğinde, Amavis güvenlik sistemi içeriğinde bir virüs taraması gerçekleştirmek için arşivi çıkarıyor. Ancak özel olarak hazırlanmış bir .cpio, .tar veya .rpm arşivini çıkarırsa içerik Zimbra web root dizinine çıkarıyor. Saldırgan bu güvenlik açığını kullanarak web shell Zimbra root dizinine dağıtarak sunucuya etkin bir şekilde shell erişimi verebiliyor.
Zimbra, kullanıcılarının arşivleme programı olan Pax’ı yüklemelerini ve güvenlik açığı bulunan bileşen olan cpio’yu değiştirmek için Zimbra sunucularını yeniden başlatmaları konusunda uyardı. Ubuntu sunucularının çoğu Zimbra’ya bağlı olduğu için pax paketinin zaten kurulmuş olması gerekiyor. CentOS’taki bir paketleme değişikliği nedeniyle, pax’in yüklenmesi gerekiyor.
Güvenlik açığı aktif olarak istismar edildi
Bu güvenlik açığı Eylül ayından bu yana aktif olarak kullanılıyor olsa da, Rapid7 tarafından hazırlanan yeni bir rapor güvenlik açığının için PoC yayınlandığını belirtiyor. Rapid7 tarafından yapılan testler, resmi olarak Zimbra tarafından desteklenen birçok Linux dağıtımının hala Pax’i varsayılan olarak yüklemediğini ve bu sistemlerin saldırılara açık olduğu belirtildi. Bu dağıtımlar Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8. Ubuntu’nun eski LTS sürümleri, 18.04 ve 20.04, Pax’ı içerir, ancak paket 22.04’te kaldırılmış durumda.
(PoC) herkese açık olduğundan geçici çözümün uygulanmaması riski çok büyük hale getiriyor. Zimbra, cpio’yu kullanımdan kaldırarak ve Pax’i Zimbra Collaboration Suite için bir ön koşul haline getirerek ve böylece kullanımını zorunlu kılarak bu zafiyeti ortadan kaldırmayı planlıyor.
Kaynak: bleepingcomputer.com