Lo que vas a encontrar...
Se descubrió una grave vulnerabilidad de día cero en Zimbra Collaboration Suite (ZCS) que se explotó activamente antes del lanzamiento de un parche.
Vulnerabilidad de día cero de Zimbra Collaboration Suite
Parece que existe una falla de ejecución de código remoto sin parches en Zimbra Collaboration Suite (ZCS), que permite a un atacante inyectar shellcode y obtener acceso a las cuentas de los usuarios. ZCS es un paquete de software dedicado que incluye un cliente web y un servidor de correo electrónico.
La vulnerabilidad crítica de día cero (CVE-2022-41352, CVSS 9.8) apareció por primera vez en línea en septiembre de 2022, cuando los administradores de Zimbra compartieron información en los foros de Zimbra.
Según la publicación, los administradores notaron cómo un adversario cargaba archivos maliciosos en el cliente web mediante el envío de correos electrónicos maliciosos. Sin embargo, los administradores acordaron solucionar el problema en la próxima actualización. Aún así, el parche permaneció pendiente hasta el momento de escribir este artículo. Los comentarios en la publicación también sugieren que el error no se solucionó hasta finales de septiembre, lo que causó problemas a los usuarios comerciales.
Al explicar la vulnerabilidad en una publicación, los investigadores de Rapid7 dijeron que la falla surgió debido a la forma en que el motor antivirus Zimbra Amavis escanea los correos electrónicos entrantes a través del método cpio. Explotar la falla requiere que un atacante envíe un correo electrónico con un archivo adjunto .cpio, .tar o .rpm al servidor de destino. Luego, cuando Amavis escanea el archivo adjunto usando cpio, activa la falla. Compartiendo la razón detrás de este comportamiento, los investigadores dijeron:
Dado que cpio no tiene un modo en el que se pueda usar de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra.
No hay arreglo todavía, pero hay una solución disponible
Aunque no hay una solución específica disponible para la vulnerabilidad, Zimbra ha compartido una solución alternativa en un aviso por separado. Específicamente, instan a los usuarios a instalar el paquete pax en los servidores de Zimbra.
Amavis requiere el paquete pax para extraer el contenido de los archivos adjuntos comprimidos al escanear. La ausencia de este paquete provocaría un retroceso a cpio, lo que desencadenaría la vulnerabilidad. Pero los sistemas con el paquete pax instalado no se ven afectados por la falla.
Háganos saber sus pensamientos en los comentarios.
