Pasar al contenido principal
Vulnerabilidades

Vulnerabilidad en Zimbra

Zimbra liberó un parche de seguridad para mitigar la vulnerabilidad CVE-2022-41352 de severidad crítica que afecta a la aplicación de correo electrónico Zimbra, la cual permite a quien ataca la ejecución remota de código (RCE).

Existen diversas pruebas de concepto públicas en Internet y la vulnerabilidad está siendo activamente explotada.

Detalles técnicos

Productos AfectadosVersiones
Zimbra Collaboration
  • 8.8.15

  • 9.0.0

Esta vulnerabilidad con severidad crítica (CVSSv3=9.8), permite a quien ataca la ejecución remota de código sin interacción con el usuario.

La falla se produce por el uso inseguro del método cpio, utilizado por motor antivirus de Zimbra (Amavis) para escanear los correos electrónicos entrantes.

Para explotar esta vulnerabilidad quien ataca envía un correo electrónico con un archivo con extensión .cpio, .tar o .rpm a un servidor vulnerable. Como el método cpio no tiene modo en el que pueda ser utilizado con archivos no confiables, quien ataca puede escribir en el sistema de archivos del servidor en cualquier ubicación donde se le permita a los usuarios de Zimbra.

La explotación de esta vulnerabilidad permitiría a quien ataca subir/escribir una shell en el directorio raíz de la web y así obtener la ejecución remota de código.

Para que la vulnerabilidad sea explotable deben cumplirse dos condiciones:

  • Tener una versión vulnerable del método cpio, que es el caso de todos los sistemas instalados por defecto.

  • El paquete “pax” no debe estar instalado, ya que Amavisd prefiere el uso del método pax antes que del método cpio. Pax no es vulnerable. El paquete Pax no esta instalado por defecto en las distribuciones basadas en RedHat, en cambio si viene por defecto en las versiones de Ubuntu 20.04 y 18.04.

Recomendaciones

Mitigación

De no ser posible realizar la actualización de seguridad a la brevedad, se recomienda instalar el paquete pax y reiniciar el servicio de Amavis.

En vista de la gravedad de la vulnerabilidad, instamos a los administradores a actualizar lo antes posible a las versiones 8.8.15 P34 o 9.0.0 P27 según corresponda, a fin de mitigar la vulnerabilidad. Más información en el siguiente enlace.

Referencias

Enlace Sitio de Zimbra Advisor

Enlace sitio Blog de Zimbra Security Advisor

Enlace sitio NVD

 

Etiquetas