El ataque de un error de Zimbra sin parches deja a los piratas servidores de puerta trasera

Los atacantes explotan activamente una vulnerabilidad de ejecución de código sin parches en el software Zimbra Collaboration que utiliza ataques de servidor de puerta trasera. Los ataques comenzaron a más tardar el 7 de septiembre, cuando un cliente de Zimbra informó unos días después que un servidor que ejecutaba el motor de filtrado de spam Amavis de la empresa había procesado un correo electrónico con un archivo adjunto malicioso. En cuestión de segundos, el escáner copió un archivo Java malicioso en el servidor y luego lo ejecutó. Esto instaló el shell web de los atacantes, que luego podrían usar para iniciar sesión y tomar el control del servidor. Zimbra aún no ha lanzado un parche que solucione la vulnerabilidad. En cambio, la compañía publicó esta guía que aconseja a los clientes que se aseguren de tener instalado un programa de archivado de archivos llamado pax. Si pax no está instalado, Amavis procesa los archivos adjuntos entrantes con cpio, un archivador alternativo que tiene vulnerabilidades conocidas que nunca se han reparado. «Si el paquete pax no está instalado, Amavis recurre a cpio», escribió Barry de Graaff, colaborador de Zimbra. «Desafortunadamente, el respaldo (por parte de Amavis) está mal implementado y permite que un atacante no autenticado cree y sobrescriba archivos en el servidor Zimbra, incluida la raíz web de Zimbra». La publicación continuó explicando cómo instalar pax. La utilidad se carga de forma predeterminada en las distribuciones de Linux Ubuntu, pero debe instalarse manualmente en la mayoría de las demás distribuciones. La vulnerabilidad de Zimbra se rastrea como CVE-2022-41352. La vulnerabilidad de día cero es un subproducto de CVE-2015-1197, una vulnerabilidad transversal de directorio conocida en cpio. Los investigadores de la firma de seguridad Rapid7 dijeron recientemente que la falla solo puede explotarse cuando Zimbra u otra aplicación secundaria usa cpio para extraer archivos que no son de confianza. El investigador de Rapid7, Ron Bowes, escribió:

Para aprovechar esta vulnerabilidad, un atacante enviaría por correo electrónico un archivo .cpio, .tar o .rpm a un servidor afectado. Cuando Amavis lo escanea en busca de malware, usa cpio para extraer el archivo. Dado que cpio no tiene un modo en el que pueda usarse de forma segura en archivos que no son de confianza, el atacante puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder el usuario de Zimbra. El resultado más probable es que el atacante coloque un shell en la raíz web para obtener la ejecución remota del código, aunque es probable que haya otras formas.

Bowes aclaró además que se deben cumplir dos condiciones para CVE-2022-41352:

1. Se debe instalar una versión vulnerable de cpio, que es el caso en prácticamente todos los sistemas (ver CVE-2015-1197)
2. La utilidad Pax debe No instalado porque Amavis prefiere pax y pax no es vulnerable

Bowes dijo que CVE-2022-41352 es «efectivamente idéntico» a CVE-2022-30333, otra vulnerabilidad de Zimbra que se explotó activamente hace dos meses. Mientras que las vulnerabilidades CVE-2022-41352 usan archivos basados ​​en los formatos de compresión cpio y tar, los ataques más antiguos usaban archivos tar. En una publicación el mes pasado, de Graaff de Zimbra dijo que la compañía planea hacer de Pax un requisito de Zimbra. Esto rompe la dependencia de cpio. Mientras tanto, la única forma de mitigar la vulnerabilidad es instalar pax y luego reiniciar Zimbra. Incluso entonces, puede permanecer al menos algún riesgo, teórico o de otro tipo, advirtieron los investigadores de la firma de seguridad Flashpoint. «Para las instancias de Zimbra Collaboration, solo se vieron afectados los servidores que no tenían instalado el paquete ‘pax'», advierten los investigadores de la compañía. “Pero otras aplicaciones también pueden usar cpio en Ubuntu. Sin embargo, actualmente no tenemos conocimiento de ningún otro vector de ataque que no sea el reinicio».