Scribd Logo
Importer

Bienvenue sur Scribd !

  • Certfr 2022 Ale 009

    Transféré par

    ttt
    15 vues3 pages

    Titre original

    CERTFR-2022-ALE-009

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    15 vues3 pages

    Certfr 2022 Ale 009

    Transféré par

    ttt

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    PREMIER MINISTRE

    S.G.D.S.N Paris, le 07 octobre 2022


    Agence nationale N° CERTFR-2022-ALE-009
    de la sécurité des
    systèmes d'information

    Affaire suivie par: CERT-FR

    BULLETIN D'ALERTE DU CERT-FR

    Objet: [MaJ] Vulnérabilité dans Zimbra Collaboration

    Gestion du document

    Référence CERTFR-2022-ALE-009
    Titre [MaJ] Vulnérabilité dans Zimbra Collaboration
    Date de la première version 07 octobre 2022
    Date de la dernière version 12 octobre 2022
    Source(s) Bulletin de sécurité Zimbra du 14 septembre 2022
    Pièce(s) jointe(s) Aucune(s)
    Tableau 1: Gestion du document

    Une gestion de version détaillée se trouve à la fin de ce document.

    Risque(s)
    Exécution de code arbitraire à distance

    Systèmes affectés
    Zimbra Collaboration Suite (ZCS) toutes versions utilisant cpio

    Résumé
    [MaJ 12 octobre 2022] Un correctif est désormais disponible (cf. section Documentation).

    Secrétariat général de la défense et de la sécurité nationale – ANSSI – CERT-FR


    51, bd de La Tour-Maubourg Tél.: +33 1 71 75 84 68 Web: https://www.cert.ssi.gouv.fr
    75700 Paris 07 SP Fax: +33 1 84 82 40 70 Mél: cert-fr.cossi@ssi.gouv.fr
    [Publication initiale]

    Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécurité mentionnant une


    vulnérabilité dans l'implémentation de cpio par son moteur d'antivirus (Amavis). L'outil
    d'extraction d'archive cpio est utilisé par Zimbra dès lors que l'utilitaire pax n'est pas installé.
    Cette vulnérabilité permet à un attaquant non authentifié de téléverser ou écraser un fichier sur
    le serveur. Par ce biais, l'attaquant à la possibilité de déposer une porte dérobée afin de pouvoir
    exécuter du code arbitraire à distance sur la machine. En effet, si un attaquant envoie un courriel
    contenant une archive piégée avec le format .cpio, .rpm ou .tar à une instance de Zimbra ne
    disposant pas de l'utilitaire pax, alors, lors du processus d'extraction par Amavis la vulnérabilité
    sera déclenchée.

    Le 25 septembre, le NIST NVD attribue à cette vulnérabilité l'immatriculation CVE-2022-


    41352. Cette vulnérabilité est simple à exploiter et pourrait être combinée avec une autre
    vulnérabilité de type élévation de privilèges, telle que la CVE-2022-37393, pour prendre le
    contrôle total de la machine.

    Le CERT-FR a connaissance de cas d'exploitation de cette vulnérabilité et de codes


    d'exploitation publiquement disponibles.

    Contournement provisoire
    L'éditeur n'a pas publié de correctif pour cette vulnérabilité. Cependant, il est assez aisé de s'en
    prémunir en installant l'utilitaire pax, disponible via le paquet du même nom, puis en
    redémarrant l'application Zimbra (les commandes sont détaillées par l'éditeur [1]).

    Détection
    Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs
    Zimbra. Il est possible d'obtenir la liste des archives au format .tar, .rpm ou .cpio qui ont été
    téléversées via la commande suivante :
    cat /opt/zimbra/log/mailbox.log | grep -i -e
    ".*FileUploadServlet.*name=.*\(.cpio\|.tar\|.rpm\),". Ces archives
    devront ensuite être analysées pour tenter d'identifier des tentatives d'exploitation de la
    vulnérabilité. Cependant, un attaquant peut dissimuler ses traces dans le cas où il a réalisé une
    élévation de privilège par le biais d'une autre vulnérabilité.

    En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur
    .
    votre système d'information

    Solution
    [MaJ 12 octobre 2022] Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
    correctifs (cf. section Documentation).

    Documentation

    [1] Bulletin de sécurité Zimbra du 14 septembre 2022


    https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/
    Avis CERT-FR CERTFR-2022-AVI-902 du 12 octobre 2022
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-902/

    Page 2 / 3
    Bulletin de sécurité Zimbra du 10 octobre 2022
    https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/
    Référence CVE CVE-2022-41352
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41352
    Bons réflexes en cas d'intrusion sur votre système d'information
    https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/

    Gestion détaillée du document


    le 07 octobre 2022
    Version initiale
    le 12 octobre 2022
    Correctif disponible.

    Conditions d’utilisation de ce document : https://www.cert.ssi.gouv.fr


    Dernière version de ce document : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-009/

    Page 3 / 3

    Vous aimerez peut-être aussi