Zimbra ha lanzado parches para contener una falla de seguridad explotada activamente en su suite de colaboración empresarial que podría aprovecharse para cargar archivos arbitrarios en instancias vulnerables.
Registrado como CVE-2022-41352 (puntuación CVSS: 9,8), el problema afecta a un componente de la suite Zimbra llamado Amavis , un filtro de contenido de código abierto y, más específicamente, a la utilidad cpio que utiliza para escanear y extraer archivos.
A su vez, se dice que la falla tiene sus raíces en otra vulnerabilidad subyacente ( CVE-2015-1197 ) que se reveló por primera vez a principios de 2015, que según Flashpoint se rectificó, solo para revertirse posteriormente en distribuciones de Linux posteriores.
«Un atacante puede usar el paquete cpio para obtener acceso incorrecto a cualquier otra cuenta de usuario», dijo Zimbra en un aviso publicado la semana pasada, y agregó que «recomienda pax sobre cpio».
Las correcciones están disponibles en las siguientes versiones:
- Zimbra 9.0.0 Parche 27
- Zimbra 8.8.15 Parche 34
Todo lo que un adversario debe hacer para convertir la deficiencia en un arma es enviar un correo electrónico con un archivo adjunto TAR especialmente diseñado que, una vez recibido, se envía a Amavis, que utiliza el módulo cpio para desencadenar el exploit.
La compañía de ciberseguridad Kaspersky ha revelado que grupos APT desconocidos se han estado aprovechando activamente de la falla en la naturaleza, con uno de los actores «infectando sistemáticamente todos los servidores vulnerables en Asia Central».
Los ataques, que se desarrollaron en dos oleadas de ataques a principios y finales de septiembre, se dirigieron principalmente a entidades gubernamentales de la región, abusando del punto de apoyo inicial para lanzar shells web en los servidores comprometidos para actividades de seguimiento.
Según la información compartida por la empresa de respuesta a incidentes Volexity, se estima que aproximadamente 1600 servidores Zimbra se infectaron en lo que llama una «mezcla de ataques dirigidos y oportunistas».
«Algunas rutas web shell […] se usaron en la explotación dirigida (probablemente APT) de organizaciones clave en el gobierno, las telecomunicaciones y TI, predominantemente en Asia; otras se usaron en la explotación masiva en todo el mundo», dijo la compañía en una serie de tuits
