WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi RCE chưa được vá trong Zimbra Collaboration Suite đang bị khai thác tích cực
Được phát hiện trong Zimbra Collaboration (ZCS) 8.8.15 và 9.0 từ đầu tháng 9, lỗ hổng (CVE-2022-41352, điểm CVSS v3 9,8) là một lỗi thực thi mã từ xa phát sinh từ việc sử dụng không an toàn tiện ích cpio, cụ thể là việc trình diệt virus của Zimbra (Amavis) sử dụng tiện ích cpio tồn tại lỗ hổng để quét các file mà email gửi đến.
Để khai thác lỗ hổng, kẻ tấn công sẽ gửi email có đính kèm các tệp .cpio, .tar hoặc .rpm đến một máy chủ bị ảnh hưởng. Khi Amavis kiểm tra các tệp này để tìm kiếm mã độc, Amavis sẽ sử dụng cpio để giải nén tệp. Vì cpio không có chế độ xử lý an toàn với các tệp kho lưu trữ, kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập. Kết quả, kẻ tấn công có thể cài shell vào trong web root để thực thi mã từ xa, cùng nhiều hành động khác.
Đến tháng 10 năm 2022, CVE-2022-41352 chưa được vá nhưng Zimbra có đề xuất các biện pháp giảm nhẹ. Lỗ hổng được phát hiện do đang bị khai thác tích cực.
Để có thể khai thác, phải tồn tại hai điều kiện:
1. Phải cài đặt phiên bản cpio tồn tại lỗ hổng.
2. Tiện ích pax không được cài đặt, vì Amavis thích sử dụng pax hơn và pax không tồn tại lỗ hổng.
Tuy nhiên, pax không được cài mặc định trên các bản phân phối Red Hat, do đó các bản phân phối này dễ bị tấn công theo mặc định. Về các bản phân phối Linux mà Zimbra chính thức hỗ trợ, cụ thể như sau:
Vì PoC đã được công bố rộng rãi, nguy cơ bị tấn công khi không triển khai giải pháp thay thế là rất lớn.
Theo thống kê của WhiteHat, Việt Nam có khoảng 1000 dịch vụ mail public trên Internet. Quản trị viên được khuyến cáo cài đặt tiện ích pax sau đó khởi động lại hệ thống vì Amavis sẽ thích pax hơn cpio. Ngoài ra, cần theo dõi các bản cập nhật từ Zimbra.
Để khai thác lỗ hổng, kẻ tấn công sẽ gửi email có đính kèm các tệp .cpio, .tar hoặc .rpm đến một máy chủ bị ảnh hưởng. Khi Amavis kiểm tra các tệp này để tìm kiếm mã độc, Amavis sẽ sử dụng cpio để giải nén tệp. Vì cpio không có chế độ xử lý an toàn với các tệp kho lưu trữ, kẻ tấn công có thể ghi vào bất kỳ đường dẫn nào trên hệ thống tệp mà người dùng Zimbra có thể truy cập. Kết quả, kẻ tấn công có thể cài shell vào trong web root để thực thi mã từ xa, cùng nhiều hành động khác.
Đến tháng 10 năm 2022, CVE-2022-41352 chưa được vá nhưng Zimbra có đề xuất các biện pháp giảm nhẹ. Lỗ hổng được phát hiện do đang bị khai thác tích cực.
Để có thể khai thác, phải tồn tại hai điều kiện:
1. Phải cài đặt phiên bản cpio tồn tại lỗ hổng.
2. Tiện ích pax không được cài đặt, vì Amavis thích sử dụng pax hơn và pax không tồn tại lỗ hổng.
Tuy nhiên, pax không được cài mặc định trên các bản phân phối Red Hat, do đó các bản phân phối này dễ bị tấn công theo mặc định. Về các bản phân phối Linux mà Zimbra chính thức hỗ trợ, cụ thể như sau:
- Oracle Linux 8 - dễ bị tấn công
- Red Hat Enterprise Linux 8 - dễ bị tấn công
- Rocky Linux 8 - dễ bị tấn công
- CentOS 8 - dễ bị tấn công
- Ubuntu 20.04 - không dễ bị tấn công (pax được cài theo mặc định)
- Ubuntu 18.04 - không dễ bị tấn công (pax được cài đặt, cpio có bản vá tùy chỉnh của Ubuntu)
Vì PoC đã được công bố rộng rãi, nguy cơ bị tấn công khi không triển khai giải pháp thay thế là rất lớn.
Theo thống kê của WhiteHat, Việt Nam có khoảng 1000 dịch vụ mail public trên Internet. Quản trị viên được khuyến cáo cài đặt tiện ích pax sau đó khởi động lại hệ thống vì Amavis sẽ thích pax hơn cpio. Ngoài ra, cần theo dõi các bản cập nhật từ Zimbra.
Theo attackerkb.com
Chỉnh sửa lần cuối: