یک آسیبپذیری اجرای کد از راه دور با شدت بحرانی در نرمافزار Zimbra's enterprise collaboration و پلتفرم ایمیل زیمبرا، در حال بهرهبرداری است و در حال حاضر هیچ وصلهای برای رفع آن منتشر نشده است.
جزئیات آسیبپذیری
این آسیبپذیری که شناسه "CVE-2022-41352" و شدت بحرانی CVSS 9.8 به آن اختصاص داده شده است، مسیری را برای مهاجمان جهت آپلود فایلهای دلخواه و انجام اقدامات مخرب در سیستمهای آسیبپذیر فراهم میکند.
به گزارش شرکت امنیت سایبری Rapid7، این آسیبپذیری به دلیل روش اسکنی است که موتور آنتیویروس زیمبرا (Amavis) بر روی ایمیلهای ورودی انجام میدهد.
بر اساس جزئیات به اشتراک گذاشته شده در انجمن های زیمبرا، گفته میشود که از اوایل سپتامبر 2020 بهرهبرداری از آسیبپذیری مذکور آغاز شده است. بهرهبرداری موفق از این آسیبپذیری مستلزم آن است که مهاجم یک فایل آرشیو (CPIO or TAR) را به یک سرور حساس ایمیل کند، که سپس محتویات آن توسط Amavis با استفاده از ابزار آرشیو فایل cpio، استخراج و بررسی میشود.
به گفته محققان Rapid7، از آنجاییکه cpio هیچ حالتی ندارد که بتوان آن را با اطمینان بر روی فایلهای نامطمئن استفاده کرد، مهاجم میتواند در هر مسیری در سیستم فایلی که کاربر زیمبرا میتواند به آن دسترسی داشته باشد، بنویسد.
محصولات تحت تأثیر
نسخههای 8.8.15 و 9.0 نرمافزار زیمبرا، چندین توزیع لینوکس از جمله Oracle Linux 8، Red Hat Enterprise Linux 8، Rocky Linux 8 و CentOS 8 به استثنای Ubuntu که pax به طور پیشفرض نصب شده است، تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
در حالی که تاکنون وصلهای برای این آسیبپذیری منتشر نشده است اما شرکت خدمات نرمافزاری از کاربران میخواهد که ابزار "pax" را نصب کرده و سرویسهای زیمبرا را ریستارت کنند. به گفته این شرکت، در صورتیکه پکیج pax نصب نشود، مهاجمی که احراز هویت نشده میتواند فایلهایی مانند Zimbra webroot را روی سرور Zimbra ایجاد و بازنویسی کند.
شرکت پشتیبان زیمبرا اعلام کرده است که این آسیبپذیری در وصله نرمافزاری بعدی برطرف خواهد شد که وابستگی به cpio را حذف کرده و در عوض pax را به یک الزام تبدیل میکند. با این حال بازه زمانی مشخصی را برای انتشار وصله جدید ارائه نکرده است.
منبع خبر:
https://thehackernews.com/2022/10/hackers-exploiting-unpatched-rce-flaw.html
- 205