Разработчики выпустили исправления для критической RCE-уязвимости в Zimbra Collaboration Suite (ZCS), с помощью которой уже были взломаны более 1600 уязвимых серверов.
Напомню, что об этой проблеме, получившей 9,8 балла по шкале оценки уязвимостей CVSS, стало известно в начале октября. Баг получил идентификатор CVE-2022-41352 и связан с методом, который антивирусное ядро Zimbra (Amavis) использует при сканировании входящих сообщений электронной почты. По данным аналитиков компании Rapid7, злоумышленник может воспользоваться этой уязвимостью, отправив по почте на уязвимый сервер специально подготовленный файл .cpio, .tar или .rpm.
Хуже того, в Metasploit уже добавлен PoC-эксплоит для этого бага, что позволяет даже низкоквалифицированным хакерам проводить эффективные атаки на уязвимые серверы.
Злоумышленники не заставили себя ждать, и по данным экспертов компании Volexity, уже скомпрометировали более 1600 серверов ZCS, использовав CVE-2022-41352 для установки веб-шеллов.
«Злоумышленники могут использовать пакет cpio, чтобы получить неправомерный доступ к любым другим учетным записям пользователей», — предупреждали разработчики Zimbra в бюллетене безопасности.
Если ранее разработчики предлагали лишь временное решение проблемы и советовали попросту заменить Cpio утилитой Pax, теперь создатели Zimbra Collaboration Suite наконец выпустили патчи.
Исправления уже доступны в версиях Zimbra 9.0.0 Patch 27 и Zimbra 8.8.15 Patch 34.
Кроме того, свежие патчи исправили многочисленные XSS-баги, приводившие к раскрытию информации, а также еще одну ошибку, CVE-2022-37393, которая имеет оценку 7,8 балла по шкале CVSS. В компании объясняют, что конфигурация Zimbra sudo позволяла пользователю Zimbra запускать двоичный файл zmslapd от имени root с произвольными параметрами.
