Se está explotando activamente una grave vulnerabilidad de ejecución remota de código en el software de colaboración empresarial y la plataforma de correo electrónico de Zimbra, y actualmente no hay ningún parche disponible para remediar el problema.
La deficiencia, asignada CVE-2022-41352tiene una clasificación de gravedad crítica de CVSS 9.8, lo que proporciona una vía para que los atacantes carguen archivos arbitrarios y lleven a cabo acciones maliciosas en las instalaciones afectadas.
“La vulnerabilidad se debe al método (cpio) en el que el motor antivirus de Zimbra (Amavis) analiza los correos electrónicos entrantes”, la empresa de ciberseguridad Rapid7 dijo en un análisis publicado esta semana.
Se dice que se ha abusado del problema desde principios de septiembre de 2022, según detalles compartido en los foros de Zimbra. Si bien aún no se ha lanzado una solución, Zimbra insta a los usuarios a instalar la utilidad “pax” y reiniciar los servicios de Zimbra.
“Si el paquete de pasajeros no está instalado, Amavis recurrirá al uso de cpio, desafortunadamente el respaldo se implementa de manera deficiente (por parte de Amavis) y permitirá que un atacante no autenticado cree y sobrescriba archivos en el servidor Zimbra, incluido el webroot de Zimbra”, dijo la empresa dijo el mes pasado.
La vulnerabilidad, que está presente en las versiones 8.8.15 y 9.0 del software, afecta a varias distribuciones de Linux como Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8, con la excepción de Ubuntu debido a que ese pax ya viene instalado por defecto.
Una explotación exitosa de la falla requiere que un atacante envíe por correo electrónico un archivo de almacenamiento (CPIO o TAR) a un servidor susceptible, que luego es inspeccionado por Amavis utilizando la utilidad de archivador de archivos cpio para extraer su contenido.
“Dado que cpio no tiene un modo en el que pueda usarse de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra”, dijo Ron Bowes, investigador de Rapid7. “El resultado más probable es que el atacante plante un shell en la raíz web para obtener la ejecución remota del código, aunque es probable que existan otras vías”.
Zimbra dijo que espera que la vulnerabilidad se aborde en el próximo parche de Zimbra, que eliminará la dependencia de cpio y, en cambio, hará que pax sea un requisito. Sin embargo, no ha ofrecido un marco de tiempo específico sobre cuándo estará disponible la solución.
Rapid7 también señaló que CVE-2022-41352 es “efectivamente idéntico” a CVE-2022-30333, una falla transversal en la versión Unix de la utilidad unRAR de RARlab que salió a la luz a principios de junio, la única diferencia es que la nueva falla aprovecha Formatos de archivo CPIO y TAR en lugar de RAR.
Aún más preocupante, se dice que Zimbra es más vulnerable a otro falla de escalada de privilegios de día ceroque podría encadenarse con cpio zero-day para lograr un compromiso de raíz remoto de los servidores.
El hecho de que Zimbra haya sido un objetivo popular para los actores de amenazas no es nuevo. En agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) prevenido de adversarios que explotan múltiples fallas en el software para violar las redes.