Una vulnerabilidad de ejecución de código sin parches en el software Zimbra Collaboration está siendo explotada activamente por atacantes que utilizan los ataques a servidores de puerta trasera.
Los ataques comenzaron a más tardar el 7 de septiembre, cuando un cliente de Zimbra informó unos días después que un servidor que ejecutaba el motor de filtrado de spam Amavis de la empresa procesó un correo electrónico que contenía un archivo adjunto malicioso. En cuestión de segundos, el escáner copió un archivo Java malicioso en el servidor y luego lo ejecutó. Con eso, los atacantes habían instalado un shell web, que luego podían usar para iniciar sesión y tomar el control del servidor.
Zimbra aún no ha lanzado un parche que solucione la vulnerabilidad. En cambio, la compañía publicó esta guía que aconseja a los clientes que se aseguren de instalar un archivador de archivos conocido como pax. A menos que se instale pax, Amavis procesa los archivos adjuntos entrantes con cpio, un archivador alternativo que tiene vulnerabilidades conocidas que nunca se solucionaron.
«Si el paquete pax no está instalado, Amavis volverá a usar cpio», escribió Barry de Graaff, empleado de Zimbra. «Desafortunadamente, el respaldo está mal implementado (por Amavis) y permitirá que un atacante no autenticado cree y sobrescriba archivos en el servidor Zimbra, incluida la raíz web de Zimbra».
La publicación continuó explicando cómo instalar pax. La utilidad viene cargada de forma predeterminada en las distribuciones Ubuntu de Linux, pero debe instalarse manualmente en la mayoría de las demás distribuciones. La vulnerabilidad de Zimbra se rastrea como CVE-2022-41352.
La vulnerabilidad de día cero es un subproducto de CVE-2015-1197, una vulnerabilidad transversal de directorio conocida en cpio. Los investigadores de la firma de seguridad Rapid7 dijeron recientemente que la falla solo se puede explotar cuando Zimbra u otra aplicación secundaria usa cpio para extraer archivos que no son de confianza.
El investigador de Rapid7, Ron Bowes, escribió:
Para aprovechar esta vulnerabilidad, un atacante enviaría un correo electrónico a un
.cpio,.taro.rpma un servidor afectado. Cuando Amavis lo inspecciona en busca de malware, utilizacpiopara extraer el archivo. Ya quecpiono tiene un modo en el que se pueda usar de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra. El resultado más probable es que el atacante plante un shell en la raíz web para obtener la ejecución remota del código, aunque es probable que existan otras vías.
Bowes continuó aclarando que deben existir dos condiciones para CVE-2022-41352:
- Una versión vulnerable de
cpiodebe estar instalado, que es el caso en básicamente todos los sistemas (ver CVE-2015-1197)- los
paxla utilidad debe no ser instalado, como prefiere Amavispaxypaxno es vulnerable
Bowes dijo que CVE-2022-41352 es «efectivamente idéntico» a CVE-2022-30333, otra vulnerabilidad de Zimbra que fue objeto de explotación activa hace dos meses. Mientras que las vulnerabilidades CVE-2022-41352 usan archivos basados en los formatos de compresión cpio y tar, los ataques más antiguos aprovechaban los archivos tar.
En la publicación del mes pasado, Zimbra’s de Graaff dijo que la compañía planea hacer pax un requisito de Zimbra. Eso eliminará la dependencia de cpio. Sin embargo, mientras tanto, la única opción para mitigar la vulnerabilidad es instalar pax y luego reiniciar Zimbra.
Incluso entonces, puede permanecer al menos algún riesgo, teórico o de otro tipo, advirtieron los investigadores de la firma de seguridad Flashpoint.
«Para las instancias de Zimbra Collaboration, solo se vieron afectados los servidores donde no se instaló el paquete ‘pax'», advirtieron los investigadores de la compañía. «Pero otras aplicaciones también pueden usar cpio en Ubuntu. Sin embargo, actualmente no conocemos otros vectores de ataque. Dado que el proveedor ha marcado claramente CVE-2015-1197 en la versión 2.13 como solucionado, las distribuciones de Linux deben manejar con cuidado esos parches de vulnerabilidad, y no solo revertirlos».