{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio","product":{"name":"Zimbra Collaboration","vendor":{"name":"Synacor","scada":false}}}],"affected_systems_content":"","closed_at":"2023-03-14","content":"## Contournement provisoire\n\nL'\u00e9diteur n'a pas publi\u00e9 de correctif pour cette vuln\u00e9rabilit\u00e9.\nCependant, il est assez ais\u00e9 de s'en pr\u00e9munir en installant l'utilitaire\n*pax*, disponible *via* le paquet du m\u00eame nom, puis en red\u00e9marrant\nl'application Zimbra (les commandes sont d\u00e9taill\u00e9es par l'\u00e9diteur\n\\[1\\]).\n\n## D\u00e9tection\n\nLe CERT-FR recommande de r\u00e9aliser une analyse approfondie des journaux\nr\u00e9seau des serveurs Zimbra. Il est possible d'obtenir la liste des\narchives au format .tar, .rpm ou .cpio qui ont \u00e9t\u00e9 t\u00e9l\u00e9vers\u00e9es *via* la\ncommande suivante :\n`cat /opt/zimbra/log/mailbox.log | grep -i -e \".*FileUploadServlet.*name=.*\\(.cpio\\|.tar\\|.rpm\\),\"`.\nCes archives devront ensuite \u00eatre analys\u00e9es pour tenter d'identifier des\ntentatives d'exploitation de la vuln\u00e9rabilit\u00e9. Cependant, un attaquant\npeut dissimuler ses traces dans le cas o\u00f9 il a r\u00e9alis\u00e9 une \u00e9l\u00e9vation de\nprivil\u00e8ge par le biais d'une autre vuln\u00e9rabilit\u00e9.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les\n[bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me\nd'information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/).\n\n\n## Solution\n\n<span style=\"color: #ff0000;\">\\[MaJ 12 octobre 2022\\]\u00a0<span\nstyle=\"color: #000000;\">Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur\npour l'obtention des correctifs (cf. section\nDocumentation).</span></span>\n\n","cves":[{"name":"CVE-2022-37393","url":"https://www.cve.org/CVERecord?id=CVE-2022-37393"},{"name":"CVE-2022-41352","url":"https://www.cve.org/CVERecord?id=CVE-2022-41352"}],"links":[{"title":"Avis CERT-FR CERTFR-2022-AVI-902 du 12 octobre 2022","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-902/"},{"title":"Bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"Bulletin de s\u00e9curit\u00e9 Zimbra du 10 octobre 2022","url":"https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/"}],"reference":"CERTFR-2022-ALE-009","revisions":[{"description":"Version initiale","revision_date":"2022-10-07T00:00:00.000000"},{"description":"Correctif disponible.","revision_date":"2022-10-12T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-03-14T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[MaJ 12 octobre 2022\\]\u00a0</strong>Un correctif est d\u00e9sormais disponible (cf.\nsection Documentation).\n\n<strong>\\[Publication initiale\\]</strong>\n\nLe 15 septembre 2022, l'\u00e9diteur Zimbra a publi\u00e9 un avis de s\u00e9curit\u00e9\nmentionnant une vuln\u00e9rabilit\u00e9 dans l'impl\u00e9mentation de *cpio* par son\nmoteur d'antivirus (Amavis). L'outil d'extraction d'archive *cpio* est\nutilis\u00e9 par Zimbra d\u00e8s lors que l'utilitaire\u00a0*pax* n'est pas install\u00e9*.*\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non authentifi\u00e9 de t\u00e9l\u00e9verser\nou \u00e9craser un fichier sur le serveur. Par ce biais, l'attaquant \u00e0 la\npossibilit\u00e9 de d\u00e9poser une porte d\u00e9rob\u00e9e afin de pouvoir ex\u00e9cuter du\ncode arbitraire \u00e0 distance sur la machine. En effet, si un attaquant\nenvoie un courriel contenant une archive pi\u00e9g\u00e9e avec le format .cpio,\n.rpm ou .tar \u00e0 une instance de Zimbra ne disposant pas de l'utilitaire\n*pax*, alors, lors du processus d'extraction par Amavis la vuln\u00e9rabilit\u00e9\nsera d\u00e9clench\u00e9e.\n\nLe 25 septembre, le NIST NVD attribue \u00e0 cette vuln\u00e9rabilit\u00e9\nl'immatriculation CVE-2022-41352. Cette vuln\u00e9rabilit\u00e9 est simple \u00e0\nexploiter et pourrait \u00eatre combin\u00e9e avec une autre vuln\u00e9rabilit\u00e9 de type\n\u00e9l\u00e9vation de privil\u00e8ges, telle que la CVE-2022-37393, pour prendre le\ncontr\u00f4le total de la machine.\n\nLe CERT-FR a connaissance de cas d'exploitation de cette vuln\u00e9rabilit\u00e9\net de codes d'exploitation publiquement disponibles.\n","title":"[MaJ] Vuln\u00e9rabilit\u00e9 dans Zimbra Collaboration","vendor_advisories":[{"published_at":"2022-09-14","title":"[1] Bulletin de s\u00e9curit\u00e9 Zimbra","url":"https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/"}]}