Los expertos de Kaspersky han encontrado una continua explotaci\u00f3n de la vulnerabilidad CVE-2022-41352 recientemente descubierta en el software colaborativo Zimbra por parte de grupos desconocidos de APT. Al menos uno de esos grupos est\u00e1 atacando servidores vulnerables en Asia Central.<\/p>\n
Esta vulnerabilidad fue encontrada en la utilidad de desempaquetado de archivos llamada cpio, que es utilizada por el filtro de contenido de Amavis, que a su vez es parte de la suite colaborativa Zimbra. Los atacantes pueden crear un archivo .tar malicioso con un web shell en su interior y enviarlo a un servidor que ejecute el software vulnerable Zimbra. Cuando el filtro Amavis comienza a verificar este archivo, llama a la utilidad cpio, que descomprime el web shell en uno de los directorios p\u00fablicos. Luego, los delincuentes deben ejecutar su web shell y hacer lo mismo con los comandos arbitrarios en el servidor atacado. En otras palabras, esta vulnerabilidad es similar a la del m\u00f3dulo tarfile<\/a>.<\/p>\n Puedes encontrar una descripci\u00f3n t\u00e9cnica m\u00e1s detallada sobre la vulnerabilidad en esta publicaci\u00f3n del blog en Securelist<\/a>. Entre otras cosas, esta entrada del blog enumera los directorios donde los atacantes colocaron su web shell en los ataques investigados por nuestros expertos.<\/p>\n Lo que es especialmente peligroso es que el exploit para esta vulnerabilidad se agreg\u00f3 a Metasploit Framework, una plataforma que, en teor\u00eda, sirve para la investigaci\u00f3n de seguridad y la realizaci\u00f3n de pruebas, pero que, en realidad, los cibercriminales suelen utilizar para ataques reales. Por tanto, el exploit para CVE-2022-41352 ahora puede ser utilizado incluso por ciberdelincuentes novatos.<\/p>\n El 14 de octubre, Zimbra lanz\u00f3 un parche junto con las instrucciones de instalaci\u00f3n, por lo que el primer paso l\u00f3gico ser\u00eda instalar las actualizaciones m\u00e1s recientes que puedes encontrar aqu\u00ed<\/a>. Si por alguna raz\u00f3n no puedes instalar este parche, existe una soluci\u00f3n alternativa: el ataque puede prevenirse al instalar la utilidad pax en un servidor vulnerable. En este caso, Amavis usar\u00e1 pax para descomprimir archivos .tar en lugar de cpio. Sin embargo, no hay que olvidar que esta no es una soluci\u00f3n real al problema: en teor\u00eda, los atacantes pueden encontrar otra forma de explotar cpio.<\/p>\n Si sospechas que est\u00e1s bajo el ataque de esta vulnerabilidad, o si encuentras un web shell en uno de los directorios enumerados en Securelist<\/a>, nuestros expertos recomiendan que contactes a los especialistas en respuesta a incidentes<\/a>. Podr\u00eda ser que los atacantes ya hayan obtenido acceso a otras cuentas de servicio o incluso hayan instalado puertas traseras. Esto les dar\u00e1 la oportunidad de recuperar el acceso al sistema atacado incluso si se elimina el web shell.<\/p>\n\u00bfC\u00f3mo protegerse?<\/h2>\n