CERTFR-2022-ALE-009
Vulnerability from certfr_alerte

[MaJ 12 octobre 2022] Un correctif est désormais disponible (cf. section Documentation).

[Publication initiale]

Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécurité mentionnant une vulnérabilité dans l'implémentation de cpio par son moteur d'antivirus (Amavis). L'outil d'extraction d'archive cpio est utilisé par Zimbra dès lors que l'utilitaire pax n'est pas installé. Cette vulnérabilité permet à un attaquant non authentifié de téléverser ou écraser un fichier sur le serveur. Par ce biais, l'attaquant à la possibilité de déposer une porte dérobée afin de pouvoir exécuter du code arbitraire à distance sur la machine. En effet, si un attaquant envoie un courriel contenant une archive piégée avec le format .cpio, .rpm ou .tar à une instance de Zimbra ne disposant pas de l'utilitaire pax, alors, lors du processus d'extraction par Amavis la vulnérabilité sera déclenchée.

Le 25 septembre, le NIST NVD attribue à cette vulnérabilité l'immatriculation CVE-2022-41352. Cette vulnérabilité est simple à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges, telle que la CVE-2022-37393, pour prendre le contrôle total de la machine.

Le CERT-FR a connaissance de cas d'exploitation de cette vulnérabilité et de codes d'exploitation publiquement disponibles.

Contournement provisoire

L'éditeur n'a pas publié de correctif pour cette vulnérabilité. Cependant, il est assez aisé de s'en prémunir en installant l'utilitaire pax, disponible via le paquet du même nom, puis en redémarrant l'application Zimbra (les commandes sont détaillées par l'éditeur [1]).

Détection

Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs Zimbra. Il est possible d'obtenir la liste des archives au format .tar, .rpm ou .cpio qui ont été téléversées via la commande suivante : cat /opt/zimbra/log/mailbox.log | grep -i -e ".*FileUploadServlet.*name=.*\(.cpio\|.tar\|.rpm\),". Ces archives devront ensuite être analysées pour tenter d'identifier des tentatives d'exploitation de la vulnérabilité. Cependant, un attaquant peut dissimuler ses traces dans le cas où il a réalisé une élévation de privilège par le biais d'une autre vulnérabilité.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information.

Solution

[MaJ 12 octobre 2022] Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Synacor Zimbra Collaboration Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio",
      "product": {
        "name": "Zimbra Collaboration",
        "vendor": {
          "name": "Synacor",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2023-03-14",
  "content": "## Contournement provisoire\n\nL\u0027\u00e9diteur n\u0027a pas publi\u00e9 de correctif pour cette vuln\u00e9rabilit\u00e9.\nCependant, il est assez ais\u00e9 de s\u0027en pr\u00e9munir en installant l\u0027utilitaire\n*pax*, disponible *via* le paquet du m\u00eame nom, puis en red\u00e9marrant\nl\u0027application Zimbra (les commandes sont d\u00e9taill\u00e9es par l\u0027\u00e9diteur\n\\[1\\]).\n\n## D\u00e9tection\n\nLe CERT-FR recommande de r\u00e9aliser une analyse approfondie des journaux\nr\u00e9seau des serveurs Zimbra. Il est possible d\u0027obtenir la liste des\narchives au format .tar, .rpm ou .cpio qui ont \u00e9t\u00e9 t\u00e9l\u00e9vers\u00e9es *via* la\ncommande suivante :\n`cat /opt/zimbra/log/mailbox.log | grep -i -e \".*FileUploadServlet.*name=.*\\(.cpio\\|.tar\\|.rpm\\),\"`.\nCes archives devront ensuite \u00eatre analys\u00e9es pour tenter d\u0027identifier des\ntentatives d\u0027exploitation de la vuln\u00e9rabilit\u00e9. Cependant, un attaquant\npeut dissimuler ses traces dans le cas o\u00f9 il a r\u00e9alis\u00e9 une \u00e9l\u00e9vation de\nprivil\u00e8ge par le biais d\u0027une autre vuln\u00e9rabilit\u00e9.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les\n[bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me\nd\u0027information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/).\n\n\n## Solution\n\n\u003cspan style=\"color: #ff0000;\"\u003e\\[MaJ 12 octobre 2022\\]\u00a0\u003cspan\nstyle=\"color: #000000;\"\u003eSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur\npour l\u0027obtention des correctifs (cf. section\nDocumentation).\u003c/span\u003e\u003c/span\u003e\n\n",
  "cves": [
    {
      "name": "CVE-2022-37393",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-37393"
    },
    {
      "name": "CVE-2022-41352",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-41352"
    }
  ],
  "initial_release_date": "2022-10-07T00:00:00",
  "last_revision_date": "2023-03-14T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2022-AVI-902 du 12 octobre 2022",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-902/"
    },
    {
      "title": "Bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Zimbra du 10 octobre 2022",
      "url": "https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/"
    }
  ],
  "reference": "CERTFR-2022-ALE-009",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-10-07T00:00:00.000000"
    },
    {
      "description": "Correctif disponible.",
      "revision_date": "2022-10-12T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-03-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[MaJ 12 octobre 2022\\]\u00a0\u003c/strong\u003eUn correctif est d\u00e9sormais disponible (cf.\nsection Documentation).\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nLe 15 septembre 2022, l\u0027\u00e9diteur Zimbra a publi\u00e9 un avis de s\u00e9curit\u00e9\nmentionnant une vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation de *cpio* par son\nmoteur d\u0027antivirus (Amavis). L\u0027outil d\u0027extraction d\u0027archive *cpio* est\nutilis\u00e9 par Zimbra d\u00e8s lors que l\u0027utilitaire\u00a0*pax* n\u0027est pas install\u00e9*.*\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non authentifi\u00e9 de t\u00e9l\u00e9verser\nou \u00e9craser un fichier sur le serveur. Par ce biais, l\u0027attaquant \u00e0 la\npossibilit\u00e9 de d\u00e9poser une porte d\u00e9rob\u00e9e afin de pouvoir ex\u00e9cuter du\ncode arbitraire \u00e0 distance sur la machine. En effet, si un attaquant\nenvoie un courriel contenant une archive pi\u00e9g\u00e9e avec le format .cpio,\n.rpm ou .tar \u00e0 une instance de Zimbra ne disposant pas de l\u0027utilitaire\n*pax*, alors, lors du processus d\u0027extraction par Amavis la vuln\u00e9rabilit\u00e9\nsera d\u00e9clench\u00e9e.\n\nLe 25 septembre, le NIST NVD attribue \u00e0 cette vuln\u00e9rabilit\u00e9\nl\u0027immatriculation CVE-2022-41352. Cette vuln\u00e9rabilit\u00e9 est simple \u00e0\nexploiter et pourrait \u00eatre combin\u00e9e avec une autre vuln\u00e9rabilit\u00e9 de type\n\u00e9l\u00e9vation de privil\u00e8ges, telle que la CVE-2022-37393, pour prendre le\ncontr\u00f4le total de la machine.\n\nLe CERT-FR a connaissance de cas d\u0027exploitation de cette vuln\u00e9rabilit\u00e9\net de codes d\u0027exploitation publiquement disponibles.\n",
  "title": "[MaJ] Vuln\u00e9rabilit\u00e9 dans Zimbra Collaboration",
  "vendor_advisories": [
    {
      "published_at": "2022-09-14",
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Zimbra",
      "url": "https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.