Kriittinen haavoittuvuus Zimbra Collaboration (ZCS) -ohjelmistossa

Zimbra Collaboration Suite -tuottavuusohjelmistossa on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Haavoittuvuutta käytetään aktiivisesti hyväksi, mutta sen väliaikaiseen korjaamiseen on jo keinoja. Kyseessä on nollapäivähaavoittuvuus, eikä varsinaista korjaavaa päivitystä ole vielä saatavilla. Ubuntu-järjestelmät eivät lähtökohtaisesti ole haavoittuvia.

Zimbra Collaboration Suite -tuottavuusohjelmiston sähköpostikomponentin versioissa 8.8.15 ja 9.0 on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Hyökkääjä voi lähettää palvelimelle sähköpostilla haitallisen tiedoston, jonka palvelin tallentaa julkisesti saatavilla olevaan hakemistoon.

Zimbran haavoittuvuus periytyy saapuvia sähköposteja käsittelevän Amavis-osan käyttämän cpio-menetelmän haavoittuvuudesta. Zimbran ohjeen mukaan väliaikainen korjaus on asentaa järjestelmään cpio:n korvaava pax-työkalu ja käynnistää Zimbra uudelleen. Zimbran saapuvien sähköpostien käsittelystä vastaava Amavis-osa osaa käyttää automaattisesti pax-työkalua cpio-työkalun sijaan, jos se on saatavilla.

Haavoittuvuuden kohde

Zimbra Collaboration Suite (ZCS) 8.8.15 ja 9.0 asti.

Ubuntu-järjestelmissä (18.04 eteenpäin) on pax asennettu oletuksena, tällaiset järjestelmät eivät ole haavoittuvia.

Mistä on kysymys?

Asenna pax-työkalu järjestelmään ja käynnistä Zimbra uudelleen ohjeiden mukaan (ulkoinen linkki).

Mitä voin tehdä?

Rapid7:n raportti haavoittuvuudesta (ulkoinen linkki)

NVD:n yhteenveto haavoittuvuudesta (ulkoinen linkki)

PoC haavan hyväksikäytöstä (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.