CVE-2022-37042

Synacor Zimbra Collaboration Suite (ZCS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-08-11

Официальное описание

Synacor Zimbra Collaboration Suite (ZCS) contains an authentication bypass vulnerability in MailboxImportServlet. This vulnerability was chained with CVE-2022-27925 which allows for unauthenticated remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-37042 представляет собой критическую уязвимость обхода аутентификации в сервлете MailboxImportServlet. Она возникла из-за некорректной проверки состояния сессии при обработке запросов на импорт почтовых ящиков.

Данная брешь используется злоумышленниками в связке с CVE-2022-27925 (уязвимость Directory Traversal в функции Zip-распаковки). Комбинация этих уязвимостей позволяет неавторизованному удаленному пользователю загружать произвольные файлы на сервер. В типичном сценарии атаки злоумышленник загружает веб-шелл (JSP-файл) в общедоступную директорию, что приводит к полному удаленному выполнению кода (RCE) с правами пользователя zimbra.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление Zimbra Collaboration Suite до версий, в которых была исправлена логика проверки аутентификации.

  1. Определите текущую версию ZCS:
zmcontrol -v
  1. Обновите систему до одной из следующих версий (или выше):
  2. ZCS 9.0.0 Patch 27

  3. ZCS 8.8.15 Patch 34

  4. Процесс установки патча для Ubuntu/Debian:

apt-get update
apt-get install zimbra-patch
sudo -u zimbra zmcontrol restart
  1. Процесс установки патча для RedHat/CentOS:
yum check-update
yum install zimbra-patch
sudo -u zimbra zmcontrol restart

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение доступа на уровне WAF/Reverse Proxy: Настройте блокировку всех внешних POST-запросов к эндпоинту /service/extension/backup/mboximport, если они не исходят из доверенных сегментов сети администрирования.

  2. Проверка системы на признаки компрометации (IoC): Проверьте наличие подозрительных JSP-файлов в директориях веб-сервера Jetty:

find /opt/zimbra/jetty/webapps -name "*.jsp"
  1. Анализ логов на предмет эксплуатации: Ищите запросы к MailboxImportServlet в логах доступа, которые вернули код 200, но не содержат валидных данных об аутентификации:
grep "MailboxImportServlet" /opt/zimbra/log/mailbox.log
  1. Изоляция: Поместите сервер Zimbra за VPN и ограничьте доступ к веб-интерфейсу из публичных сетей до завершения процесса патчинга.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей