Los atacantes están explotando una vulnerabilidad aún sin parchear (CVE-2022-41352), considerada crítica, en Zimbra Collaboration para lograr la ejecución remota de código en servidores vulnerables.

Recursos afectados:

Para ser explotable, deben darse dos condiciones:

• Se debe instalar una versión vulnerable de cpio, que es el caso en prácticamente todos los sistemas.
• La utilidad pax no debe estar instalada, ya que Amavis prefiere pax y pax no es vulnerable.

Nota:  Pax no está instalado de forma predeterminada en las distribuciones basadas en Red Hat y, por lo tanto, son vulnerables de forma predeterminada. Las distribuciones de Linux que Zimbra admite oficialmente en sus configuraciones predeterminadas y son vulnerables son:

• Oracle Linux 8
• Red Hat Enterprise Linux 8
• Rocky Linux 8
• CentOS 8

Nota: Ubuntu 18.04 y Ubuntu 20.04 no son vulnerables pues pax está instalado y en la 18.04 cpio tiene un parche personalizado.

Descripción:

CVE-2022-41352 existe debido al motor antivirus Amavis de Zimbra que usa el método cpio para escanear correos electrónicos entrantes. “CVE-2022-41352 es efectivamente idéntico a CVE-2022-30333 pero aprovecha un formato de archivo diferente (.cpio y .alquitrán opuesto a .rar). También es un subproducto de una vulnerabilidad mucho más antigua (no reparada), CVE-2015-1197”, explicó Ron Bowes, investigador de seguridad de Rapid7.

Para neutralizar el peligro de que se explote CVE-2022-41352, Synacor (la empresa que desarrolla Zimbra) aconsejó a los administradores que instalaran un paquete alternativo llamado pax en los servidores afectados y reiniciarlos, para que Amavis pueda cambiar a usarlo en lugar de cpio. “Este problema también se abordará en el próximo parche de Zimbra donde haremos pax un requisito de Zimbra”, agregaron, pero no dijeron cuándo se lanzará ese parche.

Los primeros casos de explotación en estado salvaje de la vulnerabilidad CVE-2022-41352 se señalaron a principios de septiembre y, unos días después, Synacor compartió la solución alternativa mencionada anteriormente.

Si Zimbra se ejecuta en Ubuntu 20.04 o 18.04, los administradores no tienen que hacer nada, pero Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8 son vulnerables a los ataques y deberían implementar la solución alternativa.

Rapid7 publicó información técnica adicional sobre la falla y compartió el código de explotación de prueba de concepto y los indicadores de compromiso (IoC) que los especialiastas de cibersegurida de las empresas oueden consultar (ver referencias).

Para aprovechar esta vulnerabilidad, un atacante enviaría por correo electrónico un archivo .cpio, .tar o .rpm a un servidor afectado. Cuando Amavis lo inspecciona en busca de malware, usa cpio para extraer el archivo. Dado que cpio no tiene un modo en el que se pueda usar de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra. El resultado más probable es que el atacante plante una shell en la raíz web para obtener la ejecución remota del código, aunque no se descartan otras vías. A partir del 6 de octubre de 2022, CVE-2022-41352 no está parcheado, pero Zimbra reconoció el riesgo de confiar en cpio por lo cual recomienda mitigaciones. CVE-2022-41352 fue descubierto en la naturaleza debido a la explotación activa. Recientemente, CISA y otros han advertido sobre múltiples actores de amenazas que aprovechan otras vulnerabilidades en Zimbra, lo que hace que sea probable que los actores de amenazas lógicamente también se muevan para explotar esta última vulnerabilidad sin parches. En agosto, Rapid7 informó sobre la explotación activa de múltiples vulnerabilidades en Zimbra Collaboration Suite.

Recomendaciones:

Las organizaciones que usan una versión afectada de Zimbra Collaboration Suite deben aplicar la solución alternativa recomendada, que consiste en instalar la utilidad de archivo pax, luego reiniciar Zimbra o reiniciar mientras monitorea las actualizaciones de software adicionales de Zimbra.

Realizar las pruebas en un entorno seguro antes de ponerlo en producción.

Referencias:

• https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/
• https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
• https://wiki.zimbra.com/wiki/Security_Center
• https://csirt.biocubafarma.cu/publicacion_detalles?id=397
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-zimbra-collaboration-suite-zcs