La plateforme de messagerie et le logiciel de collaboration d'entreprise Zimbra présente une vulnérabilité de gravité critique permettant l'exécution de code à distance activement exploitée, sans aucun correctif ne soit actuellement disponible pour remédier au problème.

Suivie sous le nom de CVE-2022-41352, la faille porte une évaluation critique sur l’échelle CVSS (score de 9.8). Elle offre aux attaquants un moyen de télécharger des fichiers arbitraires et d'effectuer des actions malveillantes sur les installations affectées.

Selon la société, le problème est causé par la méthode ‘cpio’ dans laquelle le moteur antivirus de Zimbra (Amavis) analyse les e-mails entrants. Ce bug existait depuis le début Septembre 2022, alors qu'aucun correctif n'a pas encore été publié.

Les utilisateurs sont invités à installer l’utilitaire ‘pax’ et redémarrer les services Zimbra pour empêcher l’antivirus Amavis d’utiliser la cpio, qui permettra à un attaquant non authentifié de créer et d'écraser des fichiers sur le serveur, y compris le webroot de Zimbra.

La vulnérabilité, qui est présente dans les versions 8.8.15 et 9.0 du logiciel, affecte plusieurs distributions Linux telles qu’Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8, à l'exception d'Ubuntu en raison du fait que pax est déjà installé par défaut.

Pour exploiter la faille avec succès, un attaquant doit envoyer par courriel un fichier d'archive (CPIO ou TAR) à un serveur sensible, qui est ensuite inspecté par Amavis à l'aide de l'utilitaire d'archivage de fichiers cpio pour en extraire le contenu.

"Comme cpio n'a pas de mode permettant de l'utiliser en toute sécurité sur des fichiers non fiables, l'attaquant peut écrire sur n'importe quel chemin du système de fichiers auquel l'utilisateur de Zimbra peut accéder", a déclaré Ron Bowes, chercheur chez Rapid7. "Le résultat le plus probable est que l'attaquant implante un shell dans la racine web pour obtenir une exécution de code à distance, bien que d'autres avenues existent probablement."

Rapid7 a également noté que CVE-2022-41352 est "effectivement identique" à CVE-2022-30333, une faille de traversée de chemin dans la version Unix de l'utilitaire unRAR de RARlab qui a été révélée plus tôt en juin, la seule différence étant que la nouvelle faille exploite les formats d'archive CPIO et TAR au lieu de RAR.

Plus inquiétant encore, Zimbra serait vulnérable à une autre faille zero-day d'élévation de privilèges, qui pourrait être enchaînée avec la faille zero-day cpio pour compromettre les serveurs à distance.