Fecha de publicación: 11/10/2022
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, alerta de la detección de una vulnerabilidad catalogada de severidad crítica en Zimbra Collaboration Suite (ZCS). Dicho fallo, además de no contar con un parche oficial publicado, está siendo explotado de manera activa por los ciberatacantes, siendo categorizado como de tipo zero-day.
La vulnerabilidad está identificada bajo el CVE-2022-41352, y permite a un atacante remoto ejecutar código arbitrario (RCE). La vulnerabilidad fue reportada en un foro de administradores de Zimbra.
A continuación, se muestran las especificaciones técnicas de la vulnerabilidad que afecta a Zimbra Collaboration Suite catalogada como crítica por el fabricante con el CVE correspondiente junto con una breve descripción.
CVE-2022-41352: Vulnerabilidad causada debido a un fallo de seguridad en el componente cpio a la hora de extraer archivos, una vez Amavis, un sistema de seguridad de correo electrónico, escanea un archivo en búsqueda de software malicioso. Cpio es utilizado de manera insegura en el caso de que la utilidad pax no esté instalada en el sistema vulnerable. Este error permite a un atacante remoto sobrescribir archivos corruptos en la webroot de Zimbra, instalar código Shell y acceder a las cuentas privadas de los usuarios, mediante el envío de un archivo adjunto dirigido a dicha finalidad.
La base de datos del NIST ha registrado esta vulnerabilidad otorgándole una puntuación de 9.8 de acuerdo a la escala CVSSv3. Actualmente se tiene conocimiento de reportes sobre actividad dañina en la red, además de la disponibilidad de exploits que aprovechen esta vulnerabilidad. Asimismo, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.
Recursos afectados
Las versiones afectadas por la anterior vulnerabilidad son las siguientes:
- Oracle Linux Versión 8 y anteriores
- Red Hat Enterprise Linux Versión 8 y anteriores
- Rocky Linux Versión 8 y anteriores
- CentOS Versión 8 y anteriores
Solución a la vulnerabilidad
Por el momento, no se ha publicado ningún parche oficial que solucione la vulnerabilidad de tipo zero-day.
Zimbra ha indicado una mitigación para la vulnerabilidad, mientras se espera a la publicación de la solución correspondiente.
Dichas medidas de seguridad conocidas por el momento consisten en la instalación de la utilidad pax en los sistemas afectados. Este proceso se realiza de una manera única, dependiendo de la distribución de Linux utilizada. A continuación, se diferencia el proceso de instalación mencionado según el sistema operativo utilizado:
- Ubuntu: se debe ejecutar el comando apt install pax
- CentOS7 y derivados: se debe ejecutar el comando yum install pax
- CentOS8 y derivados: se debe ejecutar el comando dnf install spax
Para finalizar, se debe reiniciar Zimbra a través del uso de los siguientes comandos:
- sudo su zimbra
- zmcontrol restart
Recomendaciones
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las medidas de seguridad alternativas de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no existe el parche oficial, por lo que se recomienda a los administradores de los sistemas afectados a llevar una revisión proactiva diaria en búsqueda de la publicación de la solución por parte del fabricante.
Referencias
Atentamente,
Equipo CCN-CERT