S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 octobre 2022
N° CERTFR-2022-ALE-009
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: [MaJ] Vulnérabilité dans Zimbra Collaboration

Gestion du document

Référence CERTFR-2022-ALE-009
Titre [MaJ] Vulnérabilité dans Zimbra Collaboration
Date de la première version07 octobre 2022
Date de la dernière version14 mars 2023
Source(s) Bulletin de sécurité Zimbra du 14 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio

Résumé

[MaJ 12 octobre 2022] Un correctif est désormais disponible (cf. section Documentation).

[Publication initiale]

Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécurité mentionnant une vulnérabilité dans l'implémentation de cpio par son moteur d'antivirus (Amavis). L'outil d'extraction d'archive cpio est utilisé par Zimbra dès lors que l'utilitaire pax n'est pas installé*.* Cette vulnérabilité permet à un attaquant non authentifié de téléverser ou écraser un fichier sur le serveur. Par ce biais, l'attaquant à la possibilité de déposer une porte dérobée afin de pouvoir exécuter du code arbitraire à distance sur la machine. En effet, si un attaquant envoie un courriel contenant une archive piégée avec le format .cpio, .rpm ou .tar à une instance de Zimbra ne disposant pas de l'utilitaire pax, alors, lors du processus d'extraction par Amavis la vulnérabilité sera déclenchée.

Le 25 septembre, le NIST NVD attribue à cette vulnérabilité l'immatriculation CVE-2022-41352. Cette vulnérabilité est simple à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges, telle que la CVE-2022-37393, pour prendre le contrôle total de la machine.

Le CERT-FR a connaissance de cas d'exploitation de cette vulnérabilité et de codes d'exploitation publiquement disponibles.

Contournement provisoire

L'éditeur n'a pas publié de correctif pour cette vulnérabilité. Cependant, il est assez aisé de s'en prémunir en installant l'utilitaire pax, disponible via le paquet du même nom, puis en redémarrant l'application Zimbra (les commandes sont détaillées par l'éditeur [1]).

Détection

Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs Zimbra. Il est possible d'obtenir la liste des archives au format .tar, .rpm ou .cpio qui ont été téléversées via la commande suivante : cat /opt/zimbra/log/mailbox.log | grep -i -e ".*FileUploadServlet.*name=.*\(.cpio\|.tar\|.rpm\),". Ces archives devront ensuite être analysées pour tenter d'identifier des tentatives d'exploitation de la vulnérabilité. Cependant, un attaquant peut dissimuler ses traces dans le cas où il a réalisé une élévation de privilège par le biais d'une autre vulnérabilité.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information.

Solution

[MaJ 12 octobre 2022] Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 07 octobre 2022
    Version initiale
    le 12 octobre 2022
    Correctif disponible.
    le 14 mars 2023
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.