[Actualización 17/10/2022] Vulnerabilidad 0day de RCE en Zimbra Collaboration Suite

Fecha de publicación 07/10/2022

Identificador

INCIBE-2022-0957

Importancia

5 - Crítica

Recursos Afectados

Zimbra Collaboration Suite (ZCS), versiones 8.8.15 y 9.0 en las distribuciones de Linux:
- Oracle Linux 8,
- Red Hat Enterprise Linux 8,
- Rocky Linux 8,
- CentOS 8.

Descripción

Rapid7 ha reportado una vulnerabilidad 0day de ejecución remota de código (RCE) en Zimbra Collaboration Suite (ZCS), que surge del uso inseguro de la utilidad cpio para analizar los correos electrónicos entrantes, específicamente del uso del motor antivirus de Zimbra (Amavis) en dicha utilidad.

Solución

Instalar la utilidad de archivo pax en sustitución de cpio y reiniciar Zimbra, a la espera de nuevas actualizaciones de software que solucionen la vulnerabilidad.

[Actualización 17/10/2022] Zimbra ha publicado la versión 9.0.0 P27 de ZCS para corregir esta vulnerabilidad.

Detalle

Un atacante podría subir archivos arbitrarios a través de amavisd, aprovechando la vulnerabilidad en cpio, que podría ocasionar un acceso incorrecto a cualquier otra cuenta de usuario. Dado que cpio no tiene un modo en el que se pueda utilizar de forma segura en archivos no confiables, el atacante podría escribir en cualquier ruta del sistema de archivos a la que el usuario zimbra pueda acceder. Esta vulnerabilidad está siendo explotada activamente. Se ha asignado el identificador CVE-2022-41352 para esta vulnerabilidad.