10 сентября 2022 года один из пользователей сообщил на официальных форумах Zimbra, что его команда обнаружила инцидент безопасности, исходящий от полностью исправленного экземпляра Zimbra. Предоставленные им подробности позволили Zimbra подтвердить, что неизвестная уязвимость позволяла злоумышленникам загружать произвольные файлы на современные серверы. На данный момент Zimbra выпустила патч и поделилась шагами по его установке.
Подробности уязвимости
Уязвимость затрагивает компонент пакета Zimbra под названием Amavis, а точнее утилиту cpio, которую он использует для извлечения архивов. В основе лежит другая уязвимость (CVE-2015-1197) в cpio, для которой существует исправление. Необъяснимо, но создатели дистрибутива, похоже, отменили исправление и вместо него используют уязвимую версию. Это создает большую поверхность для атак, где любое программное обеспечение, полагающееся на cpio, теоретически может быть использовано для захвата системы. CVE-2015-1197 - это уязвимость обхода каталога: извлечение специально созданных архивов, содержащих символические ссылки, может привести к размещению файлов в произвольном месте файловой системы.
- Злоумышленник отправляет электронное письмо с прикрепленным вредоносным архивом Tar.
- Получив письмо, Zimbra отправляет его в Amavis для проверки на спам и вредоносное ПО.
- Amavis анализирует вложения электронной почты и проверяет содержимое вложенного архива. Он вызывает cpio, и срабатывает CVE-2015-1197.
- Во время извлечения на одном из общих каталогов, используемых компонентом веб-почты, развертывается веб-оболочка JSP. Злоумышленник может перейти в веб-оболочку и начать выполнение произвольных команд на машине жертвы.
Обнаружение
Уязвимость, о которой идет речь в этой заметке, была использована во время двух последовательных волн атак. Первая, произошедшая в начале сентября, была относительно целенаправленной и затронула правительственные объекты в Азии. Вторая, начавшаяся 30 сентября, была гораздо более масштабной и затронула все уязвимые серверы, расположенные в определенных странах Центральной Азии. Теперь, когда в Metasploit добавлено доказательство концепции, мы ожидаем, что третья волна начнется в ближайшее время, вероятно, на этот раз конечной целью будет выкупное ПО.
После принятия вышеупомянутых мер по снижению риска владельцам серверов Zimbra рекомендуется проверить наличие следов компрометации. Следующие пути являются известными местами расположения веб-оболочек, развернутых злоумышленниками, использующими CVE-2022-41352:
1 2 3 4 5 6 | /opt/zimbra/jetty/webapps/zimbra/public/.error.jsp /opt/zimbra/jetty/webapps/zimbra/public/ResourcesVerificaton.jsp /opt/zimbra/jetty/webapps/zimbra/public/ResourceVerificaton.jsp /opt/zimbra/jetty/webapps/zimbra/public/ZimletCore.jsp /opt/zimbra/jetty/webapps/zimbra/public/searchx.jsp /opt/zimbra/jetty/webapps/zimbra/public/seachx.jsp |
Кроме того, стоит отметить, что эксплойт Metasploit бросает свой вебшелл в следующее место:
1 | /opt/zimbra/jetty_base/webapps/zimbra/[4-10 случайных символов].jsp |