黑客正在积极利用 Zimbra Collaboration Suite (ZCS) 中一个未修补的远程代码执行 (RCE) 漏洞,这是一个广泛部署的 Web 客户端和电子邮件服务器。
零日漏洞被跟踪为 CVE-2022-41352,被评为严重(CVSS v3 分数:9.8),并允许攻击者通过“Amavis”(电子邮件安全系统)上传任意文件。
成功利用该漏洞允许攻击者覆盖 Zimbra webroot、植入 shellcode 并访问其他用户的帐户。
9 月初,当管理员 在 Zimbra 论坛上发布攻击详情时,该漏洞被发现为 0day 。
由 cpio 的不安全使用引起
该漏洞的根本原因是在 Amavis 扫描文件中的病毒时使用“cpio”文件归档实用程序来提取档案。
cpio 组件有一个缺陷,允许攻击者创建可以在 Zimbra 可访问的文件系统上的任何位置提取的档案。
当一封电子邮件被发送到 Zimbra 服务器时,Amavis 安全系统将提取存档以对其内容执行病毒扫描。但是,如果它提取特制的 .cpio、.tar 或 .rpm 存档,则可以将内容提取到 Zimbra webroot。
利用此漏洞,攻击者可以将 Web shell 部署到 Zimbra 根目录,从而有效地为他们提供对服务器的 shell 访问权限。
Zimbra 于 9 月 14 日发布了安全公告,警告系统管理员安装 Pax,一个便携式归档实用程序,并重新启动他们的 Zimbra 服务器以替换易受攻击的组件 cpio。
“如果没有安装 pax 包,Amavis 将回退到使用 cpio,不幸的是,回退(由 Amavis)实现得很差,并且将允许未经身份验证的攻击者在 Zimbra 服务器上创建和覆盖文件,包括 Zimbra webroot ” 警告 九 月 的 安全 咨询.
“对于大多数 Ubuntu 服务器,应该已经安装了 pax 包,因为它是 Zimbra 的依赖项。由于 CentOS 中的包更改,很有可能没有安装 pax。”
安装 Pax 足以缓解问题,因为 Amavis 自动更喜欢它而不是 cpio,因此不需要进一步配置。
漏洞被积极利用
虽然该漏洞自 9 月以来一直被积极利用,但 Rapid7 的一份新报告 再次揭示了其积极利用的情况,并包括一个 PoC 漏洞,允许攻击者轻松创建恶意档案。
更糟糕的是,Rapid7 进行的测试表明,Zimbra 官方支持的许多 Linux 发行版仍然默认不安装 Pax,这使得这些安装容易受到该错误的影响。
这些发行版包括 Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8 和 CentOS 8。Ubuntu 的旧 LTS 版本 18.04 和 20.04 包括 Pax,但该软件包在 22.04 中被删除。
由于概念验证 (PoC) 漏洞利用已经公开了一段时间,因此不实施变通办法的风险是可怕的。
“除了这个 cpio 0-day 漏洞,Zimbra 还遭受了一个 0-day 提权漏洞,它有一个 Metasploit 模块。这意味着 cpio 中的这个 0-day 可以直接导致 Zimbra Collaboration Suite 的远程 root 入侵服务器,”进一步 警告研究人员。
Zimbra 计划通过弃用 cpio 并将 Pax 作为 Zimbra Collaboration Suite 的先决条件来果断地缓解此问题,从而强制其使用。
但是,现有安装的风险仍然存在,因此管理员需要立即采取措施保护他们的 ZCS 服务器。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用Zimbra Collaboration Suite中未修补的RCE漏洞
