Zimbra logo

ハッカーは、広く展開されている Web クライアントおよび電子メール サーバーである Zimbra Collaboration Suite (ZCS) のパッチが適用されていないリモート コード実行 (RCE) の脆弱性を積極的に悪用しています。

ゼロデイ脆弱性はCVE-2022-41352として追跡されており、重大と評価されており (CVSS v3 スコア: 9.8)、攻撃者が「Amavis」(電子メール セキュリティ システム) を介して任意のファイルをアップロードすることを可能にします。

この脆弱性の悪用に成功すると、攻撃者は Zimbra Webroot を上書きし、シェルコードを埋め込み、他のユーザーのアカウントにアクセスすることができます。

この脆弱性は、管理者が Zimbra フォーラムに攻撃の詳細を投稿した 9 月の初めにゼロデイとして発見されました。

cpio の安全でない使用が原因

脆弱性の根本的な原因は、Amavis がファイルのウイルスをスキャンするときに、「cpio」ファイル アーカイブ ユーティリティを使用してアーカイブを抽出することです。

cpio コンポーネントには、攻撃者が Zimbra にアクセス可能なファイル システム上の任意の場所に抽出できるアーカイブを作成できるという欠陥があります。

電子メールが Zimbra サーバーに送信されると、Amavis セキュリティ システムがアーカイブを抽出して、その内容のウイルス スキャンを実行します。ただし、特別に細工された .cpio、.tar、または .rpm アーカイブを抽出すると、コンテンツが Zimbra Webroot に抽出される可能性があります。

この脆弱性を利用して、攻撃者は Web シェルを Zimbra ルートに展開し、サーバーへのシェル アクセスを効果的に与える可能性があります。

Zimbra は 9 月 14 日にセキュリティ アドバイザリをリリースし、システム管理者に、ポータブル アーカイブ ユーティリティである Pax をインストールし、脆弱なコンポーネントである cpio を置き換えるために Zimbra サーバーを再起動するよう警告しました。

「pax パッケージがインストールされていない場合、Amavis は cpio の使用にフォールバックしますが、残念ながらフォールバックの実装は (Amavis によって) 不十分であり、認証されていない攻撃者が Zimbra Webroot を含む Zimbra サーバー上にファイルを作成および上書きすることを可能にします。 」と 9 月のセキュリティ アドバイザリで警告されました。

「ほとんどの Ubuntu サーバーでは、pax パッケージは Zimbra に依存しているため、既にインストールされているはずです。CentOS のパッケージ変更により、pax がインストールされていない可能性が高くなります。」

Amavis は自動的に cpio より Pax を優先するため、Pax をインストールするだけで問題を軽減できます。これ以上の構成は必要ありません。

積極的に悪用される脆弱性

この脆弱性は 9 月から活発に悪用されていますが、Rapid7 による新しいレポートは、その積極的な悪用に再び光を当てており、攻撃者が悪意のあるアーカイブを簡単に作成できる PoC の悪用が含まれています。

さらに悪いことに、Rapid7 が実施したテストによると、Zimbra が公式にサポートしている多くの Linux ディストリビューションは依然としてデフォルトで Pax をインストールせず、これらのインストールはバグに対して脆弱です。

これらのディストリビューションには、Oracle Linux 8、Red Hat Enterprise Linux 8、Rocky Linux 8、および CentOS 8 が含まれます。Ubuntu の古い LTS リリースである 18.04 および 20.04 には Pax が含まれていますが、パッケージは 22.04 で削除されました。

回避策を適用するコマンド
回避策コマンド

概念実証 (PoC) エクスプロイトがしばらくの間公開されているため、回避策を実装しない場合のリスクは深刻です。

「この cpio の 0-day 脆弱性に加えて、Zimbra は Metasploit モジュールを持つ 0-day 権限昇格の脆弱性にも悩まされています。つまり、この cpio の 0-day は、Zimbra Collaboration Suite のリモート ルート侵害に直接つながる可能性があります。サーバー」 と研究者にさらに警告します。

Zimbra は、cpio を非推奨にし、Pax を Zimbra Collaboration Suite の前提条件にして、その使用を強制することで、この問題を決定的に軽減することを計画しています。

ただし、既存のインストールにはリスクが残るため、管理者は ZCS サーバーを保護するためにすぐに行動を起こす必要があります。