Hackers están explotando una vulnerabilidad RCE sin parches en Zimbra Collaboration Suite
Investigadores de seguridad cibernética aseguran que los hackers están explotando una vulnerabilidad RCE sin parches en Zimbra Collaboration Suite
Se está explotando activamente una grave vulnerabilidad de ejecución remota de código en el software de colaboración empresarial y la plataforma de correo electrónico de Zimbra, y actualmente no existen parches disponibles para corregir el problema.
La vulnerabilidad, rastreada como CVE-2022-41352, tiene una calificación de gravedad crítica de 9.8, lo que proporciona una vía para que los atacantes carguen archivos arbitrarios y realicen acciones maliciosas en las instalaciones afectadas.
Se cree que se ha abusado del problema desde inicios de septiembre de 2022, según los detalles compartidos en los foros de Zimbra. Aunque aún no se ha lanzado una solución, Zimbra insta a los usuarios a instalar la utilidad «pax» y reiniciar los servicios de Zimbra.
La vulnerabilidad, que está presente en las versiones 8.8.15 y 9.0 del software, afecta a varias distribuciones de Linux como Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8, con la excepción de Ubuntu debido a que ese pax ya viene instalado por defecto.
Una explotación exitosa de la vulnerabilidad requiere que un atacante envíe por correo electrónico un archivo de almacenamiento (CPIO o TAR) a un servidor susceptible, que después es inspeccionado por Amavis utilizando la utilidad de archivador de archivos cpio para extraer su contenido.
Zimbra dijo que espera que la vulnerabilidad se aborde en el próximo parche de Zimbra, que eliminará la dependencia de cpio, y en cambio, hará que pax sea un requisito. Sin embargo, no ha ofrecido un marco de tiempo específico sobre cuándo estará disponible la solución.
Rapid7 también dijo que CVE-2022-41352 es «efectivamente idéntico» a CVE-2022-30333, una falla transversal en la versión Unix de la utilidad unRAR de RARlab que salió a la luz a inicios de junio, la única diferencia es que la nueva vulnerabilidad aprovecha formatos de archivo CPIO y TAR en lugar de RAR.
Aún más preocupante, se dice que Zimbra es más vulnerable a otra falla de escalada de privilegios de día cero, que podría estar encadenada con el día cero de cpio para lograr un compromiso remoto de raíz de los servidores.
El hecho de que Zimbra haya sido un objetivo popular para los atacantes no es nuevo. En agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), advirtió sobre los adversarios que explotan múltiples fallas en el software para violar las redes.