16/12/2024

Actu CybersécuritéEntreprise

Messagerie : une faille zero-day activement exploitée dans Zimbra Collaboration Suite

Une faille zero-day a été découverte dans Zimbra Collaboration Suite, une suite collaborative qui assure le rôle de serveur de messagerie. En exploitant cette vulnérabilité, un attaquant peut compromettre un serveur Zimbra à distance.

Associée à la référence CVE-2022-41352, cette vulnérabilité hérite d'un score CVSSv3 de 9,8 sur 10, ce qui en fait d'elle une faille de sécurité critique. Elle permet à un attaquant de télécharger des fichiers arbitraires par le biais de la fonction de sécurité Amavis, utilisée pour analyser les e-mails entrants et sortants. En exploitant cette vulnérabilité, l'attaquant peut écraser la webroot de Zimbra, exécuter un shellcode et accéder aux comptes d'autres utilisateurs.

L'origine de cette faille de sécurité est identifiée : il s'agit de l'utilitaire d'archivage "cpio", utilisé par la fonction Amavis quand une recherche de virus est effectuée sur un fichier. L'outil cpio contient une faille qui permet à un attaquant de créer des archives spéciales (archives .CPIO, .TAR ou .RPM) qui peuvent être extraites n'importe où sur un système de fichiers accessible à Zimbra.

Sur le forum de Zimbra, on parle de cette vulnérabilité zero-day depuis le début du mois de septembre 2022, suite à des attaques constatées par certains administrateurs systèmes de la solution Zimbra (voir un exemple ici).

Suite à cette alerte, Zimbra a publié un avis de sécurité le 14 septembre pour demander aux administrateurs d'installer Pax, un autre utilitaire d'archivage, afin de remplacer l'outil vulnérable "cpio". La transition est automatique après redémarrage. Dans le bulletin de sécurité de Zimbra, on peut lire : "Si le paquet pax n'est pas installé, Amavis se rabattra sur l'utilisation de cpio, malheureusement cette solution est mal implémentée (par Amavis) et permettra à un attaquant non authentifié de créer et d'écraser des fichiers sur le serveur Zimbra, y compris le webroot Zimbra."

Sur CentOS, il y a des chances que Pax ne soit pas installé par défaut, et donc que cpio soit utilisé, tandis que sur Ubuntu, il s'agit d'une dépendance, en fonction des versions. Mais, dans le doute, il vaut mieux vérifier si vous utilisez la suite Zimbra car d'après un rapport de Rapid7, de nombreuses distributions comme Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8 n'ont pas le paquet "pax". Tandis que côté Ubuntu, les anciennes versions LTS d'Ubuntu, à savoir 18.04 et 20.04, incluent Pax, mais le paquet a été supprimé dans la version 22.04. Par la suite, Zimbra va imposer l'utilisation de Pax pour les nouvelles installations.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.