Canal de Telegram

8 oct 2022

Segu-Info » , » Vulnerabilidad crítica en Zimbra con Exploit públicos (CVE-2022-41352)

Vulnerabilidad crítica en Zimbra con Exploit públicos (CVE-2022-41352)

8 oct 2022, 3:58:00 p.m.   1 comentario
  ,  

Se descubrió una vulnerabilidad en Zimbra Collaboration (ZCS) 8.8.15 a 9.0. Un atacante puede cargar archivos arbitrarios a través de amavisd a través de un error de cpio. Actualmente esta vulnerabilidad está siendo explotada activamente, no existe el parche y, por eso, Zimbra recomienda el uso de pax sobre cpio.

El 25 de septiembre de 2022, se publicó CVE-2022-41352 (9.8) para Zimbra Collaboration Suite. La vulnerabilidad es una falla de Ejecución Remota de Código (RCE) que surge del uso inseguro de la utilidad cpio, específicamente del uso del motor antivirus de Zimbra (Amavis) para escanear correos electrónicos entrantes. CVE-2022-41352 es efectivamente idéntico a CVE-2022-30333, solo un formato de archivo diferente (.cpio y .tar en lugar de archivos .rar).

Para aprovechar esta vulnerabilidad, un atacante enviaría por correo electrónico un archivo .cpio, .tar o .rpm a un servidor afectado. Cuando Amavis lo inspecciona en busca de malware, usa cpio para extraer el archivo. Dado que cpio no tiene un modo en el que se pueda usar de forma segura en archivos que no son de confianza (como se explica en este artículo sobre CVE-2015-1197), el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de "zimbra". El resultado más probable es que el atacante plante una shell en el directorio raíz de la web para obtener la ejecución remota del código, aunque es probable que existan otras vías.

A octubre de 2022, CVE-2022-41352 aún no está parcheado y Zimbra lo ha reconocido, por lo que recomienda mitigaciones, debido a su explotación activa.

Sistemas afectados

Para ser explotable, deben darse dos condiciones:

  • Se debe instalar una versión vulnerable de cpio, que es el caso en básicamente todos los sistemas instalados por defecto.
  • La utilidad pax no debe estar instalada, ya que Amavisd prefiere pax y pax no es vulnerable. Desafortunadamente, pax no está instalado de forma predeterminada en las distribuciones basadas en Red Hat y, por lo tanto, son vulnerables de forma predeterminada. Probamos todas las distribuciones de Linux (actuales) que Zimbra admite oficialmente en sus configuraciones predeterminadas y determinamos que:
    • Oracle Linux 8 – vulnerable
    • Red Hat Enterprise Linux 8 – vulnerable
    • Rocky Linux 8 – vulnerable
    • CentOS 8 – vulnerable
    • Ubuntu 20.04 – no vulnerable (pax está instalado de forma predeterminada)
    • Ubuntu 18.04 – no vulnerable (pax está instalado, cpio tiene el parche personalizado de Ubuntu)

Zimbra dice que su plan es eliminar por completo la dependencia de cpio haciendo que pax sea un requisito previo para Zimbra Collaboration Suite. Cambiar a pax es probablemente la mejor opción, ya que cpio no se puede usar de forma segura ya que la mayoría de los principales sistemas operativos eliminaron su parche de seguridad.

PoC

Ya existen demostraciones que crean un archivo .jsp en la raíz web que imprime un "Hello World!" y sería trivial cambiarlo por una webshell.

Además de esta vulnerabilidad Zero-Day en cpio, Zimbra también sufre una vulnerabilidad de escalamiento de privilegios Zero-Day, que ya tiene un módulo Metasploit. ¡Eso significa que este día cero en cpio puede llevar directamente al compromiso remoto de los servidores de Zimbra Collaboration Suite!

Recomendaciones

Recomendamos monitorear las actualizaciones de Zimbra, así como aplicar la solución alternativa recomendada, que es instalar la utilidad de archivo pax y luego reiniciar. Si está instalado, Amavis usará pax sobre cpio. Ya se puede aplicar el parche oficial.

Actualización 16/10

Según Kaspersky, varios grupos de APT están explotando activamente la falla poco después de que se informara en el foro de Zimbra.

La semana pasada, un informe de Rapid7 advirtió sobre la explotación activa de CVE-2022-41352 e instó a los administradores a aplicar las soluciones alternativas disponibles, ya que en ese momento no había una actualización de seguridad disponible.

El mismo día, se agregó una prueba de concepto (PoC) a Metasploit, lo que permitió que incluso los delincuentes informáticos poco calificados lanzaran ataques efectivos contra servidores vulnerables.

Desde entonces, Zimbra publicó la solución de seguridad con ZCS versión 9.0.0 P27, reemplazando el componente vulnerable (cpio) con Pax y eliminando la parte débil que hace posible la explotación.

Volexity informó ayer que sus analistas habían identificado aproximadamente 1.600 servidores ZCS que fueron comprometidos por actores de amenazas para plantar webshells.

Fuente: Rapid7

Suscríbete a nuestro Boletín

1 comentario:

  1. Anónimo9 de octubre de 2022, 4:42 a.m.

    Saludos y Gracias por la publicación.
    ~
    En Ubuntu 20.04, será necesario, inhabilitar cpio?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!