Zimbraは、グループウェアです。
Eメール機能、スケジューラ機能、アドレス帳機能、ファイル共有機能、タスク機能など多くの機能を持っています。
このツールでリモートコード実行できてしまう脆弱性が案内されています。
- CVE-2024-45519
これは、認証なしでリモートコマンド実行を可能にするZimbra postjournalサービスの脆弱性です。
加工した文字列をSMTPヘッダーに含めて送信することで、動作させることができてしまいます。
利用者としては、システムに入力される文字列は、その場所に応じた適切なサニタイジングが行われることを期待します。
サニタイジングとは、入力の内容をチェックして、含まれる有害文字列を検知し、無害化することです。
どのような内容がそのシステムにとって想定範囲なのかはそのシステムによって変わりますので、この分野においては銀の弾丸はありません。 - Zimbra postjournalサービス
これは受信者の電子メールアドレスに関して自動処理を行うための機能で、この機能の動作の過程でSMTPヘッダーが解釈されます。
管理者の期待としては、メールアドレスが記載されているはずの場所にはメールアドレスがあるということになりますが、メール送信者はこの文字列内容に関して送信時の制約はありませんので、ここに任意の文字列を置くことができます。
脆弱なバージョンのZimbraの当該機能は、メールアドレスであるはずの部分が妥当な文字列であるかについての確認やサニタイジングを実施しません。
結果として、このヘッダ部分に置かれた文字列をコマンドとして実行してしまうことにつながります。
この脆弱性に対策した新しいバージョンは、すでに提供されています。
また、Zimbra postjournalサービスは標準では無効で、管理者が有効にした場合にのみ利用されるようになっています。
そして、この脆弱性が有効に機能してしまうもう一つの要素に、mynetworksの設定内容があります。
この設定が適切な内容に設定されていれば、この脆弱性の危険度は実質的に小さくなります。
適切なバージョンを使用する、不要な設定は有効にしない、設定値は妥当に設定する、こういった基本的な取り組みで、この脆弱性は恐れる必要がない状態にできます。
非常に多くのソフトウェアが世の中で動作しています。
高機能なものが多く、構造は複雑なものとなっています。
このため、脆弱性が存在してしまうこと自体は仕方のないことなのかもしれません。
適切なサイクルで最新であることを確認することにとどまらず、定期的な設定の妥当性の確認、利用の終了したものについてのタイムリーなシステムからの削除なども取り組む必要がありそうです。
Zimbra – Remote Command Execution (CVE-2024-45519)
https://blog.projectdiscovery.io/zimbra-remote-code-execution/
| この記事をシェア |
|
|---|
