Zimbra

Alerta para administradores de Zimbra

27/04/2019
En las últimas horas, CERTuy ha recibido reportes sobre eventos de explotación masiva de vulnerabilidades conocidas sobre el producto Zimbra Colaboration Suite (ZCS), las cuales podrían permitir que un atacante remoto ejecute código malicioso en servidores de correo Zimbra. A continuación, algunas recomendaciones para administradores.
Logo Zimbra

Zimbra es un producto ampliamente utilizado por organismos públicos y privados, por lo cual los potenciales afectados representan un número significativo.

Si un atacante lograra vulnerar un servidor de Zimbra, podría controlar, leer, enviar, borrar e incluso cifrar la información de todas las cuentas de correo. En tales casos, el usuario no podría acceder a su información, podría verse imposibilitado de usarla (pérdida de la disponibilidad), sufrir robo de información (pérdida de la confidencialidad) o bien comprobar que esta ha sido modificada (pérdida de la integridad).

CERTuy realizó una investigación técnica sobre estas vulnerabilidades y un análisis primario, que comunicó por canales oficiales. Posteriormente, envió un documento detallado a los administradores y contactos de las comunidades objetivo.

 

Características técnicas

  • Las vulnerabilidades fueron catalogadas con los siguientes CVE:

CVE 2019-9670

CVE 2019-9621

 

Se insta a todos los administradores de sistemas a:

  • Verificar las versiones de Zimbra Colaboration Suite (Ver versiones con parches disponibles en el siguiente apartado) y software de base.
  • Verificar la inexistencia de los siguientes ficheros en sus servidores Zimbra:
    • zmcat
    • s.sh
    • l.sh
    • r.sh
    • cr.sh
    • tmp.txt
    • ynwD.jsp
    • ikDB.jsp
    • LU4e.jsp
    • PS1q.jsp
    • ikDB.js
  • Los archivos JSP son webshells utilizadas para ejecutar comandos en el servidor de forma remota. Además, estos están acompañados por archivos .java y .class alojados bajo el path /opt/zimbra/jetty/. Se los puede buscar con los siguientes comandos:
    • find /opt/zimbra/jetty/ -name "*.jsp" -mtime -30 -ls
    • find /opt/zimbra/jetty/ -name "*_jsp.java" -mtime -30 -ls
    • find /opt/zimbra/jetty/ -name "*.class" -mtime -30 -ls
  • Los nombres de archivos maliciosos utilizados usualmente son cadenas de caracteres cortas y aleatorias.
    • De los resultados de las búsquedas antes mencionadas, se debe realizar un análisis ya que las mismas pueden arrojar múltiples nombres de archivos legítimos.
      • /opt/zimbra/jetty/work/zimbra/org/apache/jsp/downloads/
      • /opt/zimbra/jetty/work/zimbra/org/apache/jsp/img/
      • /opt/zimbra/jetty/webapps/zimbra/downloads/
  • Realizar búsquedas de procesos en ejecución que hagan uso de los scripts y ejecutables mencionados por medio del comando (ps faux).
  • Verificar que el atacante no haya creado cuentas de correo, especialmente después del 26/03/2019.
  • Verificar la configuración de cron del usuario Zimbra en busca de anomalías.

Versiones afectadas:

  • Zimbra Collaboration Suite desde la versión 8.5 hasta la 8.8.11

Parches disponibles para las versiones afectadas:

  • 8.8.11 Patch 4
  • 8.8.10 Patch 8
  • 8.7.11 Patch 11
  • 8.6.0 Patch 14
  • 8.5.x Dado que ya no cuenta con soporte, no hay parches oficiales.

Recomendaciones

En caso de que se verifique el compromiso de un sistema, se recomienda: 

  • Realizar un respaldo del servidor de correo.
  • Instalar las actualizaciones tanto del sistema operativo base como del ZCS (Ver parches disponibles).
  • Eliminar los archivos subidos por el atacante.
  • Finalizar los procesos identificados como parte del ataque; hasta el momento se han identificado procesos con los comandos s.sh, l.sh y zmcat.Notificar al CERTuy incluyendo en el reporte versiones del Sistema Operativo base y versión de ZCS utilizada.
  • Dado que no es posible validar todas las acciones realizadas por el atacante, se recomienda:
  • Analizar la migración a un nuevo servidor en versión de Sistema Operativo y ZCS estable y con los últimos parches de seguridad instalados.
  • Guardar una copia de la información de auditoría del Sistema Operativo base (/var/log/) y de ZCS (/opt/zimbra/log/) para un eventual análisis.
  • Analizar equipos aledaños para descartar movimientos laterales del atacante.

  • Direcciones IP vinculadas a la descarga de los archivos maliciosos:

  • 185.106.120.118
  • 87.236.233.105
  • 181.148.183.75
  • 213.221.224.122
  • 85.234.126.92
  • 89.221.52.122
  • 185.99.133.75
  • 181.112.138.130
  • 104.168.158.114
  • 66.79.176.200
  • 93.113.108.146
  • 177.53.8.84

  • Enlaces de Interés:

  • Acceder a recomendaciones técnicas en el blog de tinto
  • Acceder a recomendaciones técnicas en el blog de Lorenzo Milesi. 

Descargas

Etiquetas

Amenazas y alertas Gestión de ciberseguridad Gestión de incidentes Sensibilización y difusión Guías y consejos Recomendaciones Comunidad Técnica Sala de Prensa