Messagerie : une faille zero-day activement exploitée dans Zimbra Collaboration Suite
Une faille zero-day a été découverte dans Zimbra Collaboration Suite, une suite collaborative qui assure le rôle de serveur de messagerie. En exploitant cette vulnérabilité, un attaquant peut compromettre un serveur Zimbra à distance.
Associée à la référence CVE-2022-41352, cette vulnérabilité hérite d'un score CVSSv3 de 9,8 sur 10, ce qui en fait d'elle une faille de sécurité critique. Elle permet à un attaquant de télécharger des fichiers arbitraires par le biais de la fonction de sécurité Amavis, utilisée pour analyser les e-mails entrants et sortants. En exploitant cette vulnérabilité, l'attaquant peut écraser la webroot de Zimbra, exécuter un shellcode et accéder aux comptes d'autres utilisateurs.
L'origine de cette faille de sécurité est identifiée : il s'agit de l'utilitaire d'archivage "cpio", utilisé par la fonction Amavis quand une recherche de virus est effectuée sur un fichier. L'outil cpio contient une faille qui permet à un attaquant de créer des archives spéciales (archives .CPIO, .TAR ou .RPM) qui peuvent être extraites n'importe où sur un système de fichiers accessible à Zimbra.
Sur le forum de Zimbra, on parle de cette vulnérabilité zero-day depuis le début du mois de septembre 2022, suite à des attaques constatées par certains administrateurs systèmes de la solution Zimbra (voir un exemple ici).
Suite à cette alerte, Zimbra a publié un avis de sécurité le 14 septembre pour demander aux administrateurs d'installer Pax, un autre utilitaire d'archivage, afin de remplacer l'outil vulnérable "cpio". La transition est automatique après redémarrage. Dans le bulletin de sécurité de Zimbra, on peut lire : "Si le paquet pax n'est pas installé, Amavis se rabattra sur l'utilisation de cpio, malheureusement cette solution est mal implémentée (par Amavis) et permettra à un attaquant non authentifié de créer et d'écraser des fichiers sur le serveur Zimbra, y compris le webroot Zimbra."
Sur CentOS, il y a des chances que Pax ne soit pas installé par défaut, et donc que cpio soit utilisé, tandis que sur Ubuntu, il s'agit d'une dépendance, en fonction des versions. Mais, dans le doute, il vaut mieux vérifier si vous utilisez la suite Zimbra car d'après un rapport de Rapid7, de nombreuses distributions comme Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8 n'ont pas le paquet "pax". Tandis que côté Ubuntu, les anciennes versions LTS d'Ubuntu, à savoir 18.04 et 20.04, incluent Pax, mais le paquet a été supprimé dans la version 22.04. Par la suite, Zimbra va imposer l'utilisation de Pax pour les nouvelles installations.
