Se ha informado sobre una vulnerabilidad que afecta a Zimbra, que permitiría a un atacante remoto realizar ejecución remota de código (RCE) y que además existen reportes de que está siendo explotada masivamente.
La vulnerabilidad identificada como CVE-2022-27925 de severidad alta, con puntuación asignada de 7.2. Esta se debe a la falla en la función mboximport del servidor Zimbra, que recibe un archivo ZIP y extrae los archivos encontrados en él. Un atacante sin credenciales administrativas podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
Información adicional:
- BOL-CERT-PY-2022-35 Vulnerabilidad RCE explotada masivamente en Zimbra
- https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/
- https://nvd.nist.gov/vuln/detail/CVE-2022-27925
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31.1
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24.1
- https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server
- https://github.com/volexity/threat-intel/blob/main/2022/2022-08-10%20Mass%20exploitation%20of%20(Un)authenticated%20Zimbra%20RCE%20CVE-2022-27925/yara.yar