Aanvallers maken actief misbruik van zerodaylek in Zimbra Collaboration Suite

[Captain Kirk]

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden.

Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax.

Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken.

 

bron: https://www.security.nl