Varsel: Sårbarhed i Zimbra Collaboration Suite
Sårbarheden kan potentielt udnyttes til at få adgang til brugernes mails.
En sårbarhed i open source-platformen Zimbra Collaboration Suite kan potentielt udnyttes til at kompromittere platformen og tilgå eksempelvis brugernes mails.
Sårbarheden findes i den måde den indbyggede antimalware-funktion (Amavis) forsøger at scanne visse filtyper på. Hvis Zimbra-serveren modtager en fil af typen .cpio, .tar eller .rpm, vil Amavis forsøge at bruge programmet cpio til at åbne filen. Imidlertid er sikkerhedsforanstaltningerne i cpio utilstrækkelige, og det giver mulighed for at skrive til en vilkårlig filplacering, brugeren har adgang til.
Zimbra har nu frigivet en opdatering, som lukker sårbarheden.
Hvis man ikke har mulighed for at installere opdateringen, anbefaler Zimbra at installere værktøjet pax. Hvis pax er installeret, vil Zimbra anvende det i stedet for cpio. På mange Ubuntu-installationer er pax allerede installeret.
Sikkerhedsfirmaet Rapid7 vurderer, at sårbarheden er udnyttet i angreb. Firmaet har også frigivet et proof-of-concept (PoC).
Den amerikanske cybersikkerhedsmyndighed CISA har udgivet et varsel om forsøg på at udnytte sårbarhederne. Varslet er den 10. november 2022 blevet opdateret med nye indikatorer (IoC), der kan bruges til at finde frem til potentielle kompromitteringer af et system.
Yderligere information:
Zimbra Collaboration Kepler 9.0.0 Patch 27 GA Release
Zimbra: Security Update – make sure to install pax/spax
CISA: Threat Actors Exploiting Multiple CVEs Against Zimbra Collaboration Suite
Varsler fra CFCS
CFCS ønsker at give flere danske organisationer et overblik over aktuelle sårbarheder og vil derfor udgive flere varsler på hjemmesiden. Det øgede antal varsler afspejler ikke en konkret ændring i trusselsbilledet.