Se est\u00e1 explotando activamente una grave vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en el software de colaboraci\u00f3n empresarial y la plataforma de correo electr\u00f3nico de Zimbra, y actualmente no hay ning\u00fan parche disponible para remediar el problema.<\/p>\n
La deficiencia, asignada CVE-2022-41352<\/a>tiene una clasificaci\u00f3n de gravedad cr\u00edtica de CVSS 9.8, lo que proporciona una v\u00eda para que los atacantes carguen archivos arbitrarios y lleven a cabo acciones maliciosas en las instalaciones afectadas.<\/p>\n “La vulnerabilidad se debe al m\u00e9todo (cpio<\/a>) en el que el motor antivirus de Zimbra (Amavis<\/a>) analiza los correos electr\u00f3nicos entrantes”, la empresa de ciberseguridad Rapid7 dijo<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n Se dice que se ha abusado del problema desde principios de septiembre de 2022, seg\u00fan detalles<\/a> compartido en los foros de Zimbra. Si bien a\u00fan no se ha lanzado una soluci\u00f3n, Zimbra insta a los usuarios a instalar la utilidad “pax” y reiniciar los servicios de Zimbra.<\/p>\n “Si el paquete de pasajeros<\/a> no est\u00e1 instalado, Amavis recurrir\u00e1 al uso de cpio, desafortunadamente el respaldo se implementa de manera deficiente (por parte de Amavis) y permitir\u00e1 que un atacante no autenticado cree y sobrescriba archivos en el servidor Zimbra, incluido el webroot de Zimbra”, dijo la empresa dijo<\/a> el mes pasado.<\/p>\n La vulnerabilidad, que est\u00e1 presente en las versiones 8.8.15 y 9.0 del software, afecta a varias distribuciones de Linux como Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8, con la excepci\u00f3n de Ubuntu debido a que ese pax ya viene instalado por defecto.<\/p>\n Una explotaci\u00f3n exitosa de la falla requiere que un atacante env\u00ede por correo electr\u00f3nico un archivo de almacenamiento (CPIO o TAR) a un servidor susceptible, que luego es inspeccionado por Amavis utilizando la utilidad de archivador de archivos cpio para extraer su contenido.<\/p>\n “Dado que cpio no tiene un modo en el que pueda usarse de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra”, dijo Ron Bowes, investigador de Rapid7. “El resultado m\u00e1s probable es que el atacante plante un shell en la ra\u00edz web para obtener la ejecuci\u00f3n remota del c\u00f3digo, aunque es probable que existan otras v\u00edas”.<\/p>\n Zimbra dijo que espera que la vulnerabilidad se aborde en el pr\u00f3ximo parche de Zimbra, que eliminar\u00e1 la dependencia de cpio y, en cambio, har\u00e1 que pax sea un requisito. Sin embargo, no ha ofrecido un marco de tiempo espec\u00edfico sobre cu\u00e1ndo estar\u00e1 disponible la soluci\u00f3n.<\/p>\n Rapid7 tambi\u00e9n se\u00f1al\u00f3 que CVE-2022-41352 es “efectivamente id\u00e9ntico” a CVE-2022-30333, una falla transversal en la versi\u00f3n Unix de la utilidad unRAR de RARlab que sali\u00f3 a la luz a principios de junio, la \u00fanica diferencia es que la nueva falla aprovecha Formatos de archivo CPIO y TAR en lugar de RAR.<\/p>\n A\u00fan m\u00e1s preocupante, se dice que Zimbra es m\u00e1s vulnerable a otro falla de escalada de privilegios de d\u00eda cero<\/a>que podr\u00eda encadenarse con cpio zero-day para lograr un compromiso de ra\u00edz remoto de los servidores.<\/p>\n El hecho de que Zimbra haya sido un objetivo popular para los actores de amenazas no es nuevo. En agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) prevenido<\/a> de adversarios que explotan m\u00faltiples fallas en el software para violar las redes.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Los-piratas-informaticos-explotan-la-falla-RCE-sin-parches-en.png\")
<\/a><\/div>\n