Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) alertó de dos vulnerabilidades en Zimbra Collaboration que están siendo explotadas activamente, las cuales podrían combinarse para lograr la Ejecución Remota de Código (RCE) sin autenticación en los servidores de correo electrónico afectados.
- CVE-2022-27925 (puntaje CVSS: 7.2): Ejecución Remota de Código (RCE) a través de mboximport desde un usuario autenticado (corregido en las versiones 8.8.15 parche 31 y 9.0.0 parche 24 lanzado en marzo)
- CVE-2022-37042 : Bypass de autenticación en MailboxImportServlet (corregido en las versiones 8.8.15 parche 33 y 9.0.0 parche 26, lanzadas en agosto)
CISA no ha publicado ninguna información sobre la explotación de estas vulnerabilidades. Sin embargo, la firma de seguridad cibernética "Volexity" informó de la explotación masiva de las instancias de Zimbra por parte de un atacante malicioso desconocido.
Es decir, estos ataques implican aprovechar el bypass de autenticación (antes mencionado) para obtener la Ejecución Remota de Código en el servidor subyacente mediante la carga de archivos arbitrarios.
La información de ataques se produjo una semana después de que CISA agregara otra vulnerabilidad relacionada con Zimbra, CVE-2022-27924, que, en caso de ser explotada, podría permitir a los atacantes robar las credenciales en texto plano de los usuarios.
Recursos afectados
- Zimbra 8 anteriores a la versión 8.8.15 Parche 33
- Zimbra 9 anteriores a la versión 9.0.0 Parche 26
Solución/Mitigación
- En caso de utilizar Zimbra 8 actualice, a la versión 8.8.15 Parche 33 o superior
- En caso de utilizar Zimbra 9 actualice, a la versión 9.0.0 Parche 26 o superior
Indicadores de compromiso
Para verificar si su instancia de Zimbra fue comprometida puede realizar las siguientes verificaciones:
- Buscar en los logs cualquier solicitud con respuestas 40X para el servlet vulnerable /service/extension/backup/mboximport.
- Verificar de forma minuciosa el directorio de usuarios de Zimbra (comúnmente se encuentra en: /opt/zimbra/) para identificar posibles webshells y cualquier otra evidencia de explotación.
- Utilizar las reglas YARA proporcionadas aquí para identificar webshells relacionados.
- Buscar solicitudes entrantes al servidor hacia archivos JSP que coincidan con rutas que no figuran en la lista de archivos JSP válidos para 8.8.15 y 9.0.0, de acuerdo a la versión que tenga, puede encontrar la lista aquí
Es importante realizar una copia de seguridad para preservar cualquier rastro que se pudiera tener de la actividad del atacante.
Recomendaciones
Actualice Zimbra de manera urgente a los parches mencionados para la mitigación de la vulnerabilidad, de acuerdo a la versión que tenga su instancia.
Asimismo verifique si su instancia pudiera estar comprometida siguiendo los pasos del anterior punto.
Referencias
Investigadores alertan de explotación activa de ZCS
Explotación masiva de Zimbra RCE no autenticado