Hackers estão explorando uma vulnerabilidade de execução remota de código (RCE) não corrigida no Zimbra Collaboration Suite (ZCS), software de e-mail e colaboração, de código aberto, oferecido nas versões cliente e servidor, amplamente utilizado no mercado global.
A vulnerabilidade de dia zero, rastreada como CVE-2022-41352, foi classificada como crítica — pontuação de 9.8 na escala do sistema de pontuação comum de vulnerabilidades (CVSS) — e permite que um invasor carregue arquivos arbitrários por meio do “Amavis” (sistema de segurança de e-mail). A exploração bem-sucedida da vulnerabilidade permite que um invasor sobrescreva a raiz da web do Zimbra, implante o shellcode e acesse as contas de outros usuários.
A vulnerabilidade foi descoberta como um dia zero no início de setembro, quando administradores de sistemas postaram detalhes de ataques nos fóruns do Zimbra.
A causa raiz da vulnerabilidade é usar o utilitário de arquivamento de arquivos ‘cpio’ para extrair arquivos quando o Amavis verifica um arquivo em busca de vírus. O componente ‘cpio’ tem uma falha que permite que um invasor crie arquivos que podem ser extraídos de qualquer lugar em um sistema de arquivos acessível ao Zimbra.
Quando um e-mail é enviado para um servidor Zimbra, o sistema de segurança Amavis extrai o arquivo para realizar uma verificação de vírus em seu conteúdo. No entanto, se ele extrair um arquivo .cpio, .tar ou .rpm especialmente criado, o conteúdo poderá ser extraído para a raiz da web do Zimbra. Usando essa vulnerabilidade, um invasor pode implantar shells da web na raiz do Zimbra, efetivamente dando a eles acesso de shell ao servidor.
Veja isso
Bug UnRAR pode permitir hack a usuários de e-mail do Zimbra
Dona do Financial Times perde US$ 29 mi em golpe via e-mail
A Zimbra lançou um aviso de segurança em 14 de setembro para alertar os administradores de sistemas para instalar o Pax, um utilitário de arquivamento portátil, e reiniciar seus servidores Zimbra para substituir o cpio, que é o componente vulnerável. “Se o pacote Pax não estiver instalado, o Amavis voltará a usar o cpio, infelizmente o fallback é mal implementado [pelo Amavis] e permitirá que um invasor não autenticado crie e sobrescreva arquivos no servidor Zimbra, incluindo o webroot do Zimbra “, alertou o comunicado de segurança de setembro.
Embora a vulnerabilidade venha sendo explorada ativamente desde setembro, um novo relatório da Rapid7 esclarece sua exploração ativa e inclui um exploit PoC (prova de conceito) que permite que invasores criem arquivos maliciosos facilmente. Testes realizados pela Rapid7 mostram que muitas distribuições Linux oficialmente suportadas pelo Zimbra ainda não instalam o Pax por padrão, tornando essas instalações vulneráveis ao bug.
A Zimbra havia sido comprada pelo Yahoo em setembro de 2007 e depois, pela VMware, em janeiro de 2010. Em Julho de 2013, a VMware vendeu a empresa para a Telligent Systems, que mudou o nome para Zimbra. Finalmente, a empresa foi adquirida pela Synacor em agosto de 2015, que manteve a marca.