Zimbra: Vulnerabilidad crítica con Exploits públicos (CVE-2022-41352)

Zimbra

Se descubrió una vulnerabilidad en Zimbra Collaboration (ZCS) 8.8.15 a 9.0. Un atacante puede cargar archivos arbitrarios a través de amavisd a través de un error de cpioActualmente esta vulnerabilidad está siendo explotada activamente, no existe el parche y, por eso, Zimbra recomienda el uso de pax sobre cpio.

Fuente del post: blog.segu-info

El 25 de septiembre de 2022, se publicó CVE-2022-41352 (9.8) para Zimbra Collaboration Suite. La vulnerabilidad es una falla de Ejecución Remota de Código (RCE) que surge del uso inseguro de la utilidad cpio, específicamente del uso del motor antivirus de Zimbra (Amavis) para escanear correos electrónicos entrantes. CVE-2022-41352 es efectivamente idéntico a CVE-2022-30333, solo un formato de archivo diferente (.cpio y .tar en lugar de archivos .rar).

Para aprovechar esta vulnerabilidad, un atacante enviaría por correo electrónico un archivo .cpio.tar o .rpm a un servidor afectado. Cuando Amavis lo inspecciona en busca de malware, usa cpio para extraer el archivo. Dado que cpio no tiene un modo en el que se pueda usar de forma segura en archivos que no son de confianza (como se explica en este artículo sobre CVE-2015-1197), el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de “zimbra”. El resultado más probable es que el atacante plante una shell en el directorio raíz de la web para obtener la ejecución remota del código, aunque es probable que existan otras vías.

A octubre de 2022, CVE-2022-41352 aún no está parcheado y Zimbra lo ha reconocido, por lo que recomienda mitigaciones, debido a su explotación activa.

Sistemas afectados

Para ser explotable, deben darse dos condiciones:

  • Se debe instalar una versión vulnerable de cpio, que es el caso en básicamente todos los sistemas instalados por defecto.
  • La utilidad pax no debe estar instalada, ya que Amavisd prefiere pax y pax no es vulnerable. Desafortunadamente, pax no está instalado de forma predeterminada en las distribuciones basadas en Red Hat y, por lo tanto, son vulnerables de forma predeterminada. Probamos todas las distribuciones de Linux (actuales) que Zimbra admite oficialmente en sus configuraciones predeterminadas y determinamos que:
    • Oracle Linux 8 – vulnerable
    • Red Hat Enterprise Linux 8 – vulnerable
    • Rocky Linux 8 – vulnerable
    • CentOS 8 – vulnerable
    • Ubuntu 20.04 – no vulnerable (pax está instalado de forma predeterminada)
    • Ubuntu 18.04 – no vulnerable (pax está instalado, cpio tiene el parche personalizado de Ubuntu)

Zimbra dice que su plan es eliminar por completo la dependencia de cpio haciendo que pax sea un requisito previo para Zimbra Collaboration Suite. Cambiar a pax es probablemente la mejor opción, ya que cpio no se puede usar de forma segura ya que la mayoría de los principales sistemas operativos eliminaron su parche de seguridad.

PoC

Ya existen demostraciones que crean un archivo .jsp en la raíz web que imprime un “Hello World!” y sería trivial cambiarlo por una webshell.

zimbra

Además de esta vulnerabilidad Zero-Day en cpio, Zimbra también sufre una vulnerabilidad de escalamiento de privilegios Zero-Day, que ya tiene un módulo Metasploit. ¡Eso significa que este día cero en cpio puede llevar directamente al compromiso remoto de los servidores de Zimbra Collaboration Suite!

Recomendaciones

Recomendamos monitorear las actualizaciones de Zimbra, así como aplicar la solución alternativa recomendada, que es instalar la utilidad de archivo pax y luego reiniciar. Si está instalado, Amavis usará pax sobre cpio.

Fuente del post: blog.segu-info

Recomendar0 recomendaciones

Publicaciones relacionadas

0 Comentarios
Comentarios en línea
Ver todos los comentarios

¡Descubre los increíbles beneficios de esta valiosa comunidad!

Lector

Escritor

Anunciante