CCN-CERT AL 03/22 Vulnerabilidad zero-day en Zimbra Collaboration Suite

Cabecera
separador
 
Vulnerabilidad zero-day en Zimbra Collaboration Suite
 

Fecha de publicación: 11/10/2022
Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, alerta de la detección de una vulnerabilidad catalogada de severidad crítica en Zimbra Collaboration Suite (ZCS). Dicho fallo, además de no contar con un parche oficial publicado, está siendo explotado de manera activa por los ciberatacantes, siendo categorizado como de tipo zero-day.

La vulnerabilidad está identificada bajo el CVE-2022-41352, y permite a un atacante remoto ejecutar código arbitrario (RCE). La vulnerabilidad fue reportada en un foro de administradores de Zimbra.

A continuación, se muestran las especificaciones técnicas de la vulnerabilidad que afecta a Zimbra Collaboration Suite catalogada como crítica por el fabricante con el CVE correspondiente junto con una breve descripción.

CVE-2022-41352: Vulnerabilidad causada debido a un fallo de seguridad en el componente cpio a la hora de extraer archivos, una vez Amavis, un sistema de seguridad de correo electrónico, escanea un archivo en búsqueda de software malicioso. Cpio es utilizado de manera insegura en el caso de que la utilidad pax no esté instalada en el sistema vulnerable. Este error permite a un atacante remoto sobrescribir archivos corruptos en la webroot de Zimbra, instalar código Shell y acceder a las cuentas privadas de los usuarios, mediante el envío de un archivo adjunto dirigido a dicha finalidad.

La base de datos del NIST ha registrado esta vulnerabilidad otorgándole una puntuación de 9.8 de acuerdo a la escala CVSSv3. Actualmente se tiene conocimiento de reportes sobre actividad dañina en la red, además de la disponibilidad de exploits que aprovechen esta vulnerabilidad. Asimismo, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.

Recursos afectados

Las versiones afectadas por la anterior vulnerabilidad son las siguientes:

  • Oracle Linux Versión 8 y anteriores
  • Red Hat Enterprise Linux Versión 8 y anteriores
  • Rocky Linux Versión 8 y anteriores
  • CentOS Versión 8 y anteriores

Solución a la vulnerabilidad

Por el momento, no se ha publicado ningún parche oficial que solucione la vulnerabilidad de tipo zero-day.

Zimbra ha indicado una mitigación para la vulnerabilidad, mientras se espera a la publicación de la solución correspondiente.

Dichas medidas de seguridad conocidas por el momento consisten en la instalación de la utilidad pax en los sistemas afectados. Este proceso se realiza de una manera única, dependiendo de la distribución de Linux utilizada. A continuación, se diferencia el proceso de instalación mencionado según el sistema operativo utilizado:

  • Ubuntu: se debe ejecutar el comando apt install pax
  • CentOS7 y derivados: se debe ejecutar el comando yum install pax
  • CentOS8 y derivados: se debe ejecutar el comando dnf install spax

Para finalizar, se debe reiniciar Zimbra a través del uso de los siguientes comandos:

  • sudo su zimbra
  • zmcontrol restart

Recomendaciones

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las medidas de seguridad alternativas de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no existe el parche oficial, por lo que se recomienda a los administradores de los sistemas afectados a llevar una revisión proactiva diaria en búsqueda de la publicación de la solución por parte del fabricante.

Referencias

Atentamente,

Equipo CCN-CERT

 
 
   
 

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 

 
 
Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT