Los expertos de Kaspersky han encontrado una explotación en curso de la vulnerabilidad CVE-2022-41352 descubierta recientemente en el software colaborativo de Zimbra por parte de grupos desconocidos de APT. Al menos uno de esos grupos está atacando servidores vulnerables en Asia Central.
¿Qué es CVE-2022-41352 y por qué es tan peligrosa?
Se ha encontrado esta vulnerabilidad en la herramienta de desempaquetado de archivos llamada cpio que utiliza el filtro de contenido de Amavis y que, a su vez, es parte de la suite colaborativa de Zimbra. Los atacantes pueden crear un archivo .tar malicioso con una web shell en su interior y enviarlo a un servidor que ejecute el software vulnerable de Zimbra. Cuando el filtro Amavis comienza a verificar este archivo, este llama a la herramienta cpio, que extrae la web shell en uno de los directorios públicos. Después, los delincuentes deben ejecutar su web shell y comenzar a ejecutar comandos arbitrarios en el servidor atacado. En otras palabras, esta vulnerabilidad es similar a la del módulo tarfile.
Puedes encontrar una descripción técnica más detallada sobre la vulnerabilidad en esta publicación del blog de Securelist. Entre otras cosas, esta entrada del blog enumera los directorios en los que los atacantes colocaron su web shell en los ataques investigados por nuestros expertos.
Lo que es especialmente peligroso es que el exploit para esta vulnerabilidad se agregó a Metasploit Framework, una plataforma que, en teoría, sirve para la investigación de seguridad y la realización de pruebas, pero que, en realidad, los ciberdelincuentes suelen utilizar para ataques reales. Por ello, el exploit para CVE-2022-41352 ahora puede ser utilizado incluso por ciberdelincuentes inexpertos.
¿Cómo protegerse?
El 14 de octubre, Zimbra lanzó un parche junto con las instrucciones de instalación, por lo que el primer paso lógico sería instalar las actualizaciones más recientes que encontrararás aquí. Si por alguna razón no puedes instalar este parche, hay una solución alternativa: el ataque puede prevenirse al instalar la herramienta pax en un servidor vulnerable. En este caso, Amavis usará pax en lugar de cpio para extraer archivos .tar. Sin embargo, no hay que olvidar que esta no es una solución real al problema: en teoría, los atacantes pueden encontrar otra forma de explotar cpio.
Si sospechas que estás siendo atacado por esta vulnerabilidad o si encuentras una web shell en uno de los directorios enumerados en Securelist, nuestros expertos te recomiendan que te pongas en contacto con los especialistas en respuesta a incidentes. Podría ocurrir que los atacantes ya hayan obtenido acceso a otras cuentas de servicio o incluso hayan instalado puertas traseras. Esto les dará la oportunidad de recuperar el acceso al sistema atacado incluso si se elimina la web shell.
Las soluciones de seguridad de Kaspersky detectan y bloquean con éxito los intentos de aprovechar la vulnerabilidad CVE-2022-41352.