Zimbra tiene parches lanzados para contener una falla de seguridad explotada activamente en su suite de colaboración empresarial que podría aprovecharse para cargar archivos arbitrarios en instancias vulnerables.
Registrado como CVE-2022-41352 (puntuación CVSS: 9,8), el problema afecta a un componente de la suite de Zimbra llamado Amavisun filtro de contenido de código abierto y, más específicamente, la utilidad cpio que utiliza para escanear y extraer archivos.
A su vez, se dice que la falla está enraizada en otra vulnerabilidad subyacente (CVE-2015-1197) que se reveló por primera vez a principios de 2015, que según punto de inflamación fue corregido, solo para ser revertido posteriormente en distribuciones posteriores de Linux.
“Un atacante puede usar el paquete cpio para obtener acceso incorrecto a cualquier otra cuenta de usuario”, dijo Zimbra en un aviso publicado la semana pasada, y agregó que “recomienda pax sobre cpio”.
Las correcciones están disponibles en las siguientes versiones:
Todo lo que un adversario debe hacer para convertir la deficiencia en un arma es enviar un correo electrónico con un archivo adjunto TAR especialmente diseñado que, una vez recibido, se envía a Amavis, que utiliza el módulo cpio para desencadenar el exploit.
La empresa de ciberseguridad Kaspersky ha revelado que grupos APT desconocidos se han estado aprovechando activamente de la falla en la naturaleza, con uno de los actores “infectando sistemáticamente todos los servidores vulnerables en Asia Central”.
Los ataques, que se desarrollaron en dos oleadas de ataques a principios y finales de septiembre, se dirigieron principalmente a entidades gubernamentales de la región, abusando del punto de apoyo inicial para lanzar shells web en los servidores comprometidos para actividades de seguimiento.
Según la información compartida por la empresa de respuesta a incidentes Volexity, se estima que aproximadamente 1600 servidores Zimbra se infectaron en lo que llama una “mezcla de ataques dirigidos y oportunistas”.
“Algunas rutas de shell web […] se utilizaron en la explotación dirigida (probablemente APT) de organizaciones clave en el gobierno, las telecomunicaciones y la TI, predominantemente en Asia; otros fueron utilizados en la explotación mundial masiva”, la empresa dijo en una serie de tuits.