Zimbra Collaboration Suiteにゼロディ脆弱性、確認と緩和策を

Rapid7は10月6日(米国時間)、「Unpatched Zero-Day RCE Vulnerability in Zimbra Collaboration Suite｜Rapid7 Blog」において、オープンソースベースのグループウェア「Zimbra Collaboration Suite (ZCS)」に存在するゼロディ脆弱性が積極的に悪用されていると伝えた。

Zimbra Collaboration Suiteにパッチが適用されていないリモートコード実行(RCE: Remote Code Execution)の脆弱性があることが明らかとなった。この脆弱性は、Zimbraのアンチウイルスエンジン「Amavis」が受信メールをスキャンする方法「cpio」に起因しているとされている。CVE-2022-41352として追跡されているこの脆弱性の深刻度はCVSSv3スコア値9.8で、Critical(緊急)と位置づけられており、注意が必要。

Zimbraの公式フォーラムで共有された詳細によると、この問題は2022年9月初旬から悪用されているという。修正プログラムはまだ公開されていないが、Zimbraは「pax」ユーティリティをインストールしてZimbraサービスを再起動するようユーザーに呼びかけている(参考「Security Update - make sure to install pax/spax - Zimbra : Blog」)。

Red HatベースのLinuxディストリビューションはデフォルトでpaxがインストールされていないため、この脆弱性が悪用される可能性が高いとされている。Zimbraが現在、公式サポートしているすべてのLinuxディストリビューションをデフォルトの設定でテストした結果、いくつかのLinuxディストリビューションが脆弱性であることがわかった。なお、Ubuntuはpaxがデフォルトでインストールされているため、UbuntuベースのZimbraは脆弱ではないとのことだ。

この脆弱性の影響を受けるLinuxディストリビューションは次のとおり。

Oracle Linux 8
Red Hat Enterprise Linux 8
Rocky Linux 8
CentOS 8

paxをZimbra Collaboration Suiteの前提条件とすることで、cpioへの依存を完全に排除する計画が進められている。cpioが安全に使用できないため、paxに移行することが最良の選択とされている。