Se ha informado sobre una vulnerabilidad de día cero (0-day) que afecta a Zimbra, que permitiría a un atacante remoto realizar ejecución remota de código (RCE). Existen reportes de que la misma está siendo explotada masivamente. Actualmente para esta vulnerabilidad ya existe un PoC publicado en Internet.
La vulnerabilidad identificada como CVE-2022-41352 de severidad crítica, con puntuación asignada de 9.8. Esta se debe a la falla en el método de control cpio del servicio de antivirus Amavis utilizado por Zimbra. Esto permitiría a un atacante enviar un archivo especialmente diseñado para realizar ejecución remota de código (RCE) en el sistema afectado, así también la misma permitiría introducir webshells en carpetas públicas para obtener una línea de comandos remoto.
La vulnerabilidad está presente en los siguientes sistemas:
Zimbra instalado sobre alguno de estos sistemas operativos:
- Red Hat Enterprise Linux 8.
- Rocky Linux 8.
- CentOS 8.
- CentOS7
Información adicional:
- BOL-CERT-PY-2022-40-Explotacion-masiva-de-vulnerabilidad-RCE-0-day-en-Zimbra.pdf
- https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41352
- https://attackerkb.com/topics/1DDTvUNFzH/cve-2022-41352/rapid7-analysis?referrer=activityFeed
- https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server