image

Aanvallers maken actief misbruik van zerodaylek in Zimbra Collaboration Suite

zondag 9 oktober 2022, 08:29 door Redactie, 4 reacties

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden.

Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax.

Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken.

Reacties (4)
09-10-2022, 08:55 door Anoniem
Bij Exchange Server altijd reacties, hier niet?
09-10-2022, 10:00 door Anoniem
Gelukkig draai ik exchange.

Maar leuk om te zien dat er zo'n uniform configuratie beleid is. Maakt troubleshooting gemakkelijk als je een overstap maakt.

Bijzonder dat sommige grote spelers dit security advies al 7 jaar in de wind slaan. Hoe kan dit zo zijn? Dit ook nog eens terwijl iedereen altijd alles kan zien.
10-10-2022, 08:53 door _R0N_
Door Anoniem: Bij Exchange Server altijd reacties, hier niet?

Nee uiteraard, het is leuk om tegen Microsoft te schoppen tot je er achter komt dat elk software bedrijf dezelfde problemen heeft. (probleem vrije software bestaat niet)
10-10-2022, 08:54 door _R0N_
Door Anoniem:

Bijzonder dat sommige grote spelers dit security advies al 7 jaar in de wind slaan. Hoe kan dit zo zijn? Dit ook nog eens terwijl iedereen altijd alles kan zien.

Er wordt altijd wel geroepen dat Open Source zo geweldig is omdat iedereen de code kan inzien maar als je vraagt wanneer ze daadwerkelijk de code hebben ingekeken heb ik dat nog nooit iemand horen bevestigen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.