Vulnerabilidad en Zimbra explota ITW

Los servidores con la suite colaborativa de Zimbra instalada están siendo atacados mediante una herramienta de desempaquetado de archivos.

Los expertos de Kaspersky han encontrado una continua explotación de la vulnerabilidad CVE-2022-41352 recientemente descubierta en el software colaborativo Zimbra por parte de grupos desconocidos de APT. Al menos uno de esos grupos está atacando servidores vulnerables en Asia Central.

¿Qué es CVE-2022-41352 y por qué es tan peligrosa?

Esta vulnerabilidad fue encontrada en la utilidad de desempaquetado de archivos llamada cpio, que es utilizada por el filtro de contenido de Amavis, que a su vez es parte de la suite colaborativa Zimbra. Los atacantes pueden crear un archivo .tar malicioso con un web shell en su interior y enviarlo a un servidor que ejecute el software vulnerable Zimbra. Cuando el filtro Amavis comienza a verificar este archivo, llama a la utilidad cpio, que descomprime el web shell en uno de los directorios públicos. Luego, los delincuentes deben ejecutar su web shell y hacer lo mismo con los comandos arbitrarios en el servidor atacado. En otras palabras, esta vulnerabilidad es similar a la del módulo tarfile.

Puedes encontrar una descripción técnica más detallada sobre la vulnerabilidad en esta publicación del blog en Securelist. Entre otras cosas, esta entrada del blog enumera los directorios donde los atacantes colocaron su web shell en los ataques investigados por nuestros expertos.

Lo que es especialmente peligroso es que el exploit para esta vulnerabilidad se agregó a Metasploit Framework, una plataforma que, en teoría, sirve para la investigación de seguridad y la realización de pruebas, pero que, en realidad, los cibercriminales suelen utilizar para ataques reales. Por tanto, el exploit para CVE-2022-41352 ahora puede ser utilizado incluso por ciberdelincuentes novatos.

¿Cómo protegerse?

El 14 de octubre, Zimbra lanzó un parche junto con las instrucciones de instalación, por lo que el primer paso lógico sería instalar las actualizaciones más recientes que puedes encontrar aquí. Si por alguna razón no puedes instalar este parche, existe una solución alternativa: el ataque puede prevenirse al instalar la utilidad pax en un servidor vulnerable. En este caso, Amavis usará pax para descomprimir archivos .tar en lugar de cpio. Sin embargo, no hay que olvidar que esta no es una solución real al problema: en teoría, los atacantes pueden encontrar otra forma de explotar cpio.

Si sospechas que estás bajo el ataque de esta vulnerabilidad, o si encuentras un web shell en uno de los directorios enumerados en Securelist, nuestros expertos recomiendan que contactes a los especialistas en respuesta a incidentes. Podría ser que los atacantes ya hayan obtenido acceso a otras cuentas de servicio o incluso hayan instalado puertas traseras. Esto les dará la oportunidad de recuperar el acceso al sistema atacado incluso si se elimina el web shell.

Las soluciones de seguridad de Kaspersky detectan y bloquean con éxito los intentos de aprovechar la vulnerabilidad CVE-2022-41352.

Consejos