Zimbra encore dans la tourmente. Après avoir essuyé en février dernier une faille zero day exploitée contre des Etats européens, l'éditeur de solutions dans le domaine du collaboratif, de la bureautique et de la messagerie affronte une autre épreuve. Une vulnérabilité également non corrigée et déjà exploitée par des pirates a en effet été découverte dans ZCS (Zimbra Collaboration Suite). Répertoriée en tant que CVE-2022-41352, elle est classée 9.8 sur l'échelle de score CVSS v3. Ce trou de sécurité s'avère particulièrement problématique car son exploit ouvre la porte à un attaquant pour écraser la racine Web de Zimbra, d'implanter un shellcode et d'accéder aux comptes mails d'autres utilisateurs et de télécharger des fichiers via le système de messagerie sécurisé Amavis de Zimbra.

Zimbra a publié un avis de sécurité le 14 septembre pour avertir les administrateurs système d'installer l'utilitaire d'archivage Pax, nécessaire à Amavis pour extraire le contenu des pièces jointes compressées pour l'analyse antivirus. Le fournisseur recommande ensuite de redémarrer leurs serveurs Zimbra pour remplacer cpio, qui est le composant à risque par lequel l'exploit est réalisé. « Si le paquet pax n'est pas installé, Amavis reviendra à l'utilisation de cpio, malheureusement la solution de repli est mal implémentée et permettra à un attaquant non authentifié de créer et d'écraser des fichiers sur le serveur Zimbra, y compris la racine Web Zimbra », a prévenu le fournisseur.

Les serveurs Zimbra sous RHEL 8 parmi les systèmes à risque

Les chercheurs en sécurité de Rapid7 ont pu établir les OS vulnérables à cette faille, à savoir Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ainsi que CentOS 8. « Pour la plupart des serveurs Ubuntu, le package pax doit déjà être installé car il s'agit d'une dépendance de Zimbra. En raison d'un changement de package dans CentOS, il y a de fortes chances que pax ne soit pas installé », prévient toutefois le fournisseur.