Piratas informáticos buscan explotar la vulnerabilidad de ejecución remota de código (RCE), descubierta en Zimbra Collaboration Suite (ZCS).
- CVE-2022-41352: con una calificación de gravedad “Crítica” (puntuación CVSSv3:9.8), permite que un atacante explote o cargue archivos arbitrarios a través de “Amavis” (A Mail Virus Scanner). La explotación exitosa de esta vulnerabilidad permite a un atacante sobrescribir la webroot de Zimbra, llegando a implantar código de Shell y acceder a las cuentas de otros usuarios.
Cuando se envía un correo electrónico a un servidor de Zimbra, el sistema de seguridad de Amavis extraerá el archivo para realizar un análisis de virus de su contenido. Sin embargo, si extrae un archivo .cpio, .tar o .rpm especialmente diseñado, el contenido podría extraerse en la webroot de Zimbra.
La causa raíz de esta vulnerabilidad está en el uso de “cpio” que permite extraer archivos cuando Amavis realiza el escaneo de virus. Este componente cpio tiene una falla que permite al atacante crear archivos que se pueden extraer en cualquier lugar de un sistema de archivos accesible para Zimbra.
Productos Afectados:
Se debe tener en cuenta que la vulnerabilidad afecta las distribuciones de Zimbra que corre en los siguientes sistemas:
Distribución Linux | Condición |
Oracle Linux 8 | vulnerable |
Red Hat Enterprise Linux 8 | vulnerable |
Rocky Linux 8 | vulnerable |
CentOS 8 | vulnerable |
Ubuntu 18.04 | No vulnerable |
Ubuntu 20.04 | No vulnerable |
Ubuntu 22.04 | vulnerable |
Mitigación:
Zimbra recomienda a los administradores de sistemas que instalen Pax y reinicien sus servidores de Zimbra para reemplazar cpio, que es el componente vulnerable.
Tomar en cuenta que, si el paquete de pax no está instalado, por defecto Amavis usará cpio automáticamente, lo que permitirá que un atacante no autenticado cree y sobrescriba archivos en el servidor Zimbra, incluyendo el webroot del propio servior. Servidores con Ubuntu (18.04 y 20.4) incluyen pax, el paquete de pax se eliminó en la versión 22.04.
Recomendación:
Para las siguientes distribuciones se pueden ejecutar los siguientes comandos para la instalación de pax
ubuntu
apt install pax
CentOS 7 y derivados
yum install pax
CentOS 8 y derivados
dnf install spax
Reinicie Zimbra usando:
sudo su zimbra –
zmcontrol restart
Solución / Actualización:
Hasta el 19 de octubre de 2022, Zimbra ha liberado nuevos parches que solventan la vulnerabilidad. Se recomienda a los administradores de soluciones Zimbra, actualizar de manera inmediata a los parches mas recientes:
Referencias:
- https://attackerkb.com/topics/1DDTvUNFzH/cve-2022-41352
- https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/
- https://www.bleepingcomputer.com/news/security/hackers-exploiting-unpatched-rce-bug-in-zimbra-collaboration-suite/
- https://unaaldia.hispasec.com/2022/10/vulnerabilidad-0-day-critica-en-zimbra-explotada-activamente.html?utm_source=rss&utm_medium=rss&utm_campaign=vulnerabilidad-0-day-critica-en-zimbra-explotada-activamente
- https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P34