Vulnerabilidades

Vulnerabilidades en Zimbra

12/08/2022
CVE-2022-27925 es una vulnerabilidad de ejecución remota de código (RCE), parcheada por Zimbra en marzo. Por otra parte, CVE-2022-37042 es una vulnerabilidad de omisión de autenticación que fue recientemente parcheada.
Logo de Zimbra

El uso de ambas en conjunto convierte a CVE-2022-27925 en una vulnerabilidad de ejecución remota de código sin requerir credenciales. Se tiene conocimiento de la explotación activa de las mismas desde junio de 2022.

CERTuy publicó en junio una nota sobre la vulnerabilidad CVE-2022-27924- El parche que la corrige también aplica para la vulnerabilidad CVE-2022-27925 de manera parcial, ya que todavía es posible sobrescribir el buzón de un usuario, armando una solicitud específicamente construida con este fin y utilizando la omisión de autenticación.

Detalles técnicos

Productos AfectadosVersiones
Zimbra Collaboration
  • 8.8.15
  • 9.0.0

La falla se produce por la omisión de autenticación en la funcionalidad MailboxImport, esta funcionalidad recibe un archivo de extensión “.zip” y extrae los archivos del mismo.

Al pasar por alto la autenticación (o sea no contiene un token de autenticación), quien ataca puede enviar un archivo “.zip” especialmente diseñado y cargar archivos arbitrarios en el sistema, lo que resulta en un path traversal y la ejecución remota de código.

Detección

Ante la duda de un potencial compromiso se pueden seguir los siguientes pasos a modo de comprobación:

  • Revisar las trazas de auditoria de los solicitudes al recurso “/service/extension/backup/mboximport” con códigos de respuesta 40x.

  • Revisar en detalle el directorio /opt/zimbra a fin de identificar potenciales artefactos maliciosos.

  • Utilizar las reglas YARA del siguiente enlace para identificar posibles artefactos maliciosos. YARA es una herramienta destinada a identificar y clasificar muestras de malware, la misma se puede obtener del siguiente enlace.

  • Buscar solicitudes entrantes a su servidor Zimbra para recursos con extensión “.jsp” que no figuren dentro de los archivos por defecto de las versiones 8.8.15 y 9.0.0. Es posible utilizar el siguiente enlace para identificar los recursos .jsp de una instalación limpia.

Recomendaciones

En vista de la gravedad de la vulnerabilidad, instamos a los administradores a actualizar lo antes posible a las versiones 8.8.15 P33 o 9.0.0 P26 según corresponda, a fin de mitigar la vulnerabilidad.

Referencias

Enlace Sitio de Zimbra Advisor

Enlace sitio Blog de Zimbra Security Advisor

Enlace sitio NVD CVE-2022-27925

Enlace sitio NVD – CVE-2022-37042

Enlace al sitio de Volexity

 

Etiquetas

Amenazas y alertas Comunidad Técnica