Zimbra hat Patches veröffentlicht, um eine aktiv ausgenutzte Sicherheitslücke in seiner Enterprise Collaboration Suite zu schließen, die dazu genutzt werden kann, beliebige Dateien auf verwundbare Instanzen hochzuladen.
Die Schwachstelle mit der Bezeichnung CVE-2022-41352 (CVSS-Score: 9.8) betrifft eine Komponente der Zimbra-Suite namens Amavis, einen Open-Source-Inhaltsfilter, und insbesondere das Dienstprogramm cpio, das zum Scannen und Extrahieren von Archiven verwendet wird.
Die Schwachstelle wiederum soll auf eine andere zugrundeliegende Schwachstelle (CVE-2015-1197) zurückzuführen sein, die erstmals Anfang 2015 bekannt wurde und die laut Flashpoint behoben wurde, um dann in späteren Linux-Distributionen wieder behoben zu werden.
„Ein Angreifer kann das cpio-Paket nutzen, um sich falschen Zugriff auf andere Benutzerkonten zu verschaffen“, erklärte Zimbra in einem letzte Woche veröffentlichten Advisory und fügte hinzu, dass es „pax gegenüber cpio empfiehlt“.
Die Korrekturen sind in den folgenden Versionen verfügbar –
Um die Schwachstelle auszunutzen, muss ein Angreifer lediglich eine E-Mail mit einem speziell gestalteten TAR-Archiv-Anhang versenden, der nach dem Empfang an Amavis weitergeleitet wird, das das cpio-Modul verwendet, um den Exploit auszulösen.
Das Cybersecurity-Unternehmen Kaspersky hat aufgedeckt, dass unbekannte APT-Gruppen die Schwachstelle aktiv ausnutzen, wobei einer der Akteure „systematisch alle anfälligen Server in Zentralasien infiziert“.
Die Angriffe, die sich über zwei Angriffswellen Anfang und Ende September erstreckten, zielten vor allem auf Regierungsstellen in der Region ab und missbrauchten die anfängliche Schwachstelle, um Web-Shells auf den kompromittierten Servern für Folgeaktivitäten abzulegen.
Nach Angaben des Sicherheitsdienstleisters Volexity wurden schätzungsweise 1.600 Zimbra-Server durch eine „Mischung aus gezielten und zufälligen Angriffen“ infiziert.
„Einige Web-Shell-Pfade […] wurden für gezielte (wahrscheinlich APT-) Angriffe auf wichtige Organisationen in den Bereichen Regierung, Telekommunikation und IT, vor allem in Asien, verwendet; andere wurden für massive weltweite Angriffe genutzt“, so das Unternehmen in einer Reihe von Tweets.