Onderzoekers hebben een manier gevonden waardoor het mogelijk is om Zimbra-mailserver door middel van alleen een malafide RAR-bestand over te nemen. De enige vereiste is de aanwezigheid van een kwetsbare versie van de UnRar-software voor het uitpakken van RAR-bestanden. Een path traversal-kwetsbaarheid in UnRar maakt het mogelijk voor een aanvaller om door middel van een malafide RAR-bestand bestanden naar locaties te schrijven waar dat niet de bedoeling is.
In het geval van Zimbra kan een aanvaller zodoende toegang krijgen tot elke verstuurde en ontvangen e-mail op de gecompromitteerde mailserver, inloggegevens van gebruikers stelen en code op de server uitvoeren. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.
Zoals gezegd is de enige vereiste voor het uitvoeren van de aanval de aanwezigheid van een kwetsbare UnRar-versie. Volgens onderzoekers van securitybedrijf SonarSource, die het probleem ontdekten, is de aanwezigheid van UnRar te verwachten, aangezien de software nodig is om RAR-bestanden uit te pakken en op malware en spam te kunnen controleren. Een path traversal-kwetsbaarheid in UnRar zorgt ervoor dat een aanvaller via een malafide RAR-bestand overal op het filesystem van de mailserver kan schrijven.
De onderzoekers merken op dat het probleem niet direct ligt in de Zimbra-mailserversoftware, maar misbruik alleen mogelijk is vanwege de ruime permissies die Zimbra aan UnRar toekent. De kwetsbaarheid, aangeduid als CVE-2022-30333, is in UnRar 6.12 en nieuwer verholpen. Zimbra heeft aanpassingen aan de software doorgevoerd en roept beheerders op om voortaan van archiveringssoftware 7-Zip gebruik te maken en UnRar wanneer geïnstalleerd te verwijderen.
Verder merken de onderzoekers op dat de meeste services waarvan Zimbra gebruikmaakt als de Zimbra-user draaien. Er is echter nog geen oplossing beschikbaar voor Zimbra-beheerders om de permissies van de verschillende services te hardenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.