Zimbra - CVE-2022-41352 | Modulo @ Metasploit

Hace unos días se informaba desde Rapid7 una vulnerabilidad en los servidores de correo Zimbra. Esta vulnerabilidad permitía la ejecución tipo RCE y fue catalogada como 9.8

NVD describe la vulnerabilidad de la siguiente manera:

Una falla fue descubierta en Zimbra Collaboration (ZCS) 8.8.15 y 9.0. Un atacante puede cargar archivos de manera arbitraria a través de "amavisd" y con colaboración de una falla en "cpio" (/opt/zimbra/webapps/zimbra/public) lo que puede llevar al acceso de cualquier cuenta de usuario.

Según se describe en Rapid7, zimbra recibe un archivo adjunto ".tar", ".cpio" o ".rpm" y lo extrae en un directorio publico utilizando "cpio" para ser analizado en búsqueda de virus. Al no tratar de manera segura los archivos al extraerlos, el atacante puede escribir un segundo archivo y plantar un shell en el web root, en el peor de los casos.

Mitigación.

Un truco para mitigar este ataque es utilizar la utilidad "pax" para extraer estos archivos a la hora de analizarlos. Así que una recomendación emitida es, en el servidor infectado, instalar la utilidad:

Ubuntu:

apt install paxinstall

Centos:

yum install pax

y reiniciar el servicio de Zimbra.

PacketStormSecurity informa de un módulo liberado para metasploit, el cual puede ser utilizado como prueba de concepto para realizar pruebas sobre un servidor vulnerable.

Nota: Nunca ejecutes código desde repositorios de internet sin verificar la fuente y sobre todo, nunca realices pruebas de vulnerabilidad sobre servidores sin el consentimiento del o los propietarios de los servicios.