Posté le juin 30, 2022 à 10:33
DES HACKERS POURRAIENT CIBLER LES SERVEURS DE MESSAGERIE WEB ZIMBRA AU MOYEN DE LA VULNÉRABILITÉ ZERO DAY D’UNRAR
Une nouvelle vulnérabilité a été découverte dans l’utilitaire UnRAR de RARlab. La faille pourrait permettre à un attaquant distant d’exécuter des codes arbitraires sur un système dépendant de binaires si elle est exploitée avec succès.
La faille, dénommée CVE-2022-30333, est une vulnérabilité de traversée de chemin dans les versions Unix de UnRAR. Elle peut être lancée lors de l’extraction d’une archive RAR malicieusement conçue.
Après la découverte de la vulnérabilité le 4 mai 2022, le fournisseur a corrigé le problème. RarLab a publié une mise à jour dans le cadre de la version 6.12 le 6 mai. En outre, il a publié d’autres versions du logiciel pour les systèmes d’exploitation Android et Windows, bien que ces versions n’aient pas été affectées.
La vulnérabilité peut donner aux acteurs de menaces un accès non autorisé
Simon Scannell, chercheur chez SonarSource, a déclaré que l’acteur de la menace peut créer des fichiers en dehors du paramètre d’extraction lorsqu’une application extrait une version non fiable. Si le hacker peut écrire dans un emplacement connu, il peut en tirer parti d’une manière qui peut conduire à l’exécution de commandes arbitraires sur le système.
Il convient de souligner que tout logiciel qui utilise une version non corrigée d’UnRAR pour extraire des archives non fiables est concerné par la faille.
La suite collaborative Zimbra n’est pas en reste, puisque la vulnérabilité peut entraîner la pré-authentification de l’exécution de code à distance. Il peut donner à l’acteur de la menace un contrôle complet de l’email, lui permettant d’écraser ou d’abuser d’autres ressources internes au sein du réseau de l’organisation.
La faille est liée à une attaque par lien symbolique qui permet de concevoir une archive RAR contenant un lien symbolique. Le lien symbolique peut être une combinaison de barre oblique (/) ou de barre oblique inversée (\), ce qui peut être utilisé pour contourner les contrôles actuels, en extrayant l’archive en dehors du répertoire attendu.
La vulnérabilité permet la conversion en barre oblique ou forward slash
Le chercheur en sécurité a déclaré que le bug est lié à une fonction qui convertit les barres obliques inversées en barres obliques. Cela permet à une archive RAR créée sous Windows d’être facilement extraite sur un système nix, en changeant le lien symbolique en « ../../../tmp/shell ».
Une fois qu’un acteur malveillant tire parti de ce comportement, il peut écrire des fichiers arbitraires à distance sur le système de fichiers cible et exécuter des commandes malveillantes. Cela inclut également l’écrasement du shell JSP dans le répertoire web de Zimbra, ce qui donne au hacker un contrôle total sur le système.
M. Scannell ajoute que l’attaquant n’a pas à faire face à plusieurs exigences. Dans ce cas, la seule exigence est que l’UnRAR soit installé sur le serveur. Cela se produira probablement puisqu’il est nécessaire pour la vérification du spam et la recherche de virus dans les archives RAR.
La vulnérabilité a reçu un score de base de 7,5 dans le système CVSS (Common Vulnerability Scoring System).
Zimbra est une solution d’entreprise utilisée par plus de 200 000 entreprises, institutions financières et établissements gouvernementaux. Le fournisseur a publié un avertissement sur la vulnérabilité de l’appareil suite à la découverte du bug par Sonar. « Nous avons découvert une vulnérabilité zero day dans l’utilitaire UnRAR, un outil tiers utilisé dans Zimbra », peut-on lire dans le document.
Zimbra a déjà été lié à une vulnérabilité
La correction de la vulnérabilité intervient près d’un an après que Zimbra a été liée à un rapport des gouvernements Britannique et Américain qui a identifié l’entreprise comme une cible possible des espions Russes.
Le rapport a révélé que les cyberespions Russes exploitent 11 failles datant de 2018 utilisées pour un accès initial.
Le rapport conjoint a été publié par la NSA (National Security Agency), la CISA (US Cybersecurity and Infrastructure Security Agency) et la NCSC (National Cyber Security Agency) du Royaume-Uni.
Les agences ont informé les lecteurs des activités des services de renseignement étrangers Russes, également connus sous les noms de The Dukes, Crazy Bear et APT29. Ce groupe a été accusé de l’attaque de SolarWinds et d’autres attaques majeures contre des organisations Américaines et Britanniques.
Afin d’éviter d’être découvert et d’avoir plus d’impact, le SVR ne cesse de modifier ses tactiques en réponse aux précédents rapports émis par les agences. Il s’agit notamment de l’exploitation de failles fréquemment signalées dans le serveur Microsoft Exchange.
Le rapport énumère 11 failles dans des produits de Zimbra, Oracle, Cisco, Fortnite, f5, Elasticsearch, Citrix et Pulse Secure. Ces produits sont exploités par le SVR pour obtenir un accès non autorisé au réseau de la cible.
En outre, le rapport avertit que d’autres produits qui ne sont pas répertoriés pourraient être ciblés par le groupe de menaces. L’un des modes opératoires du groupe consiste à exploiter les vulnérabilités qui ont été récemment divulguées publiquement. Celles-ci sont plus susceptibles de permettre un accès initial à leurs cibles, note le rapport.
