Nivel de peligrosidad: CRÍTICO.
Zimbra, un programa colaborativo que contiene un servicio de correo electrónico, contiene una vulnerabilidad catalogada de severidad crítica en Zimbra Collaboration Suite (ZCS). Dicho fallo, además de no contar con un parche oficial publicado, está siendo explotado de manera activa por los ciberatacantes, siendo categorizado como de tipo zero-day.
Dicho error está identificado bajo el CVE-2022-41352, y permite a un atacante remoto ejecutar código arbitrario (RCE). La vulnerabilidad destacada fue reportada en un foro de administradores de Zimbra, en la que los mismos dieron a conocer ataques cibernéticos sufridos, aún contando con la última actualización instalada en los sistemas afectados.
|
CVE |
Descripción |
|
CVE-2022-41352 |
Vulnerabilidad que existe debido a una validación de entrada inadecuada dentro de los componentes de inicio de sesión de Console, Telnet y SSH. Un atacante remoto no autenticado puede enviar una solicitud especialmente diseñada a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino. |
La base de datos del NIST ha registrado esta vulnerabilidad otorgándole una puntuación de 9.8 de acuerdo a la escala CVSSv3. Actualmente se tiene conocimiento de reportes sobre actividad dañina en la red, además de la disponibilidad de exploits que aprovechen esta vulnerabilidad. Asimismo, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.
Recursos afectados:
Las versiones afectadas por la anterior vulnerabilidad son las siguientes:
- Oracle Linux Versión 8 y anteriores
- Rocky Linux Versión 8 y anteriores
- Red Hat Enterprise Linux Versión 8 y anteriores
- CentOS Versión 8 y anteriores
Solución a las vulnerabilidades:
Por el momento, no se ha publicado ningún parche oficial que solucione la vulnerabilidad de tipo zero-day.
En adición a lo anterior, se ha dado a conocer una mitigación alternativa de seguridad proporcionada por la compañía, por lo que de esta manera, los administradores de los sistemas vulnerables pueden hacer frente a la vulnerabilidad descrita, mientras se mantienen a la espera de la publicación de la solución correspondiente.
Dichas medidas de seguridad conocidas por el momento consisten en la instalación de la utilidad pax en los sistemas afectados. Este proceso se realiza de una manera única, dependiendo de la distribución de Linux utilizada. A continuación, se diferencia el proceso de instalación mencionado según el sistema operativo utilizado:
- Ubuntu: se debe ejecutar el comando apt install pax.
- CentOS7 y derivados: se debe ejecutar el comando yum install pax.
- CentOS8 y derivados: se debe ejecutar el comando dnf install spax.
Para finalizar, se debe reiniciar Zimbra a través del uso de los siguientes comandos:
- sudo su zimbra.
- zmcontrol restart.
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las medidas de seguridad alternativas de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no existe el parche oficial, por lo que se recomienda a los administradores de los sistemas afectados a llevar una revisión proactiva diaria en búsqueda de la publicación de la solución por parte del fabricante.
Referencias:
