Exploração contínua de CVE-2022-41352 (Zimbra 0-day)

Exploração contínua de CVE-2022-41352 (Zimbra 0-day). Vulnerabilidade desconhecida permite que invasores enviassem arquivos arbitrários para servidores atualizados

Em 10 de setembro de 2022, um usuário relatou nos fóruns oficiais do Zimbra que sua equipe detectou um incidente de segurança originado de uma instância totalmente corrigida do Zimbra. Os detalhes que eles forneceram permitiram que o Zimbra confirmasse que uma vulnerabilidade desconhecida permitia que invasores enviassem arquivos arbitrários para servidores atualizados. No momento, o Zimbra lançou um patch e compartilhou suas etapas de instalação. Além disso, as etapas de mitigação manual podem ser realizadas pelos administradores do sistema para evitar a exploração bem-sucedida (veja abaixo).

A Kaspersky investigou a ameaça e conseguiu confirmar que grupos APT desconhecidos estão explorando ativamente essa vulnerabilidade em estado selvagem, um dos quais está infectando sistematicamente todos os servidores vulneráveis ​​na Ásia Central.

Em 7 de outubro de 2022, uma prova de conceito para essa vulnerabilidade foi adicionada à estrutura Metasploit, lançando as bases para a exploração massiva e global de invasores de baixa sofisticação.

Detalhes da vulnerabilidade

A vulnerabilidade afeta um componente do pacote Zimbra chamado Amavis e, mais especificamente, o utilitário cpio que ele usa para extrair arquivos. A causa subjacente é outra vulnerabilidade ( CVE-2015-1197 ) no cpio, para a qual uma correção está disponível. Inexplicavelmente, os mantenedores da distribuição parecem ter revertido o patch e usam uma versão vulnerável. Isso cria uma grande superfície de ataque onde qualquer software que dependa do cpio pode, em teoria, ser aproveitado para assumir o controle do sistema. CVE-2015-1197 é uma vulnerabilidade de passagem de diretório: a extração de arquivos especialmente criados contendo links simbólicos pode fazer com que os arquivos sejam colocados em um local arbitrário no sistema de arquivos.

No contexto do CVE-2022-41352, o cenário de exploração se desdobra da seguinte forma:

  1. Um invasor envia um e-mail com um arquivo Tar malicioso anexado.
  2. Ao receber o e-mail, o Zimbra o envia à Amavis para inspeção de spam e malware.
  3. Amavis analisa os anexos de e-mail e inspeciona o conteúdo do arquivo anexado. Ele invoca o cpio e o CVE-2015-1197 é acionado.
  4. Durante a extração, um webshell JSP é implementado em um dos diretórios públicos usados ​​pelo componente webmail. O invasor pode navegar até o webshell para começar a executar comandos arbitrários na máquina da vítima.

Mitigação

Como o Zimbra lançou um patch para essa vulnerabilidade, o melhor a fazer é atualizar seus dispositivos imediatamente. Se por algum motivo isso não for possível, instalar o pax na máquina que hospeda a instalação do Zimbra impedirá que a vulnerabilidade seja explorada. pax está disponível em gerenciadores de pacotes (como apt e yum) de todas as principais distribuições Linux. Entre todas as variantes do Linux oficialmente suportadas pelo Zimbra, apenas o Ubuntu instala o pax por padrão e, portanto, não é afetado pelo CVE-2022-41352:

Distribuição Vulnerável a CVE-2022-41352
Red Hat Enterprise Linux 7 Sim
Red Hat Enterprise Linux 8 Sim
CentOS 7 Sim
CentOS 8 Sim
Oracle Linux 7 Sim
Oracle Linux 8 Sim
Rock Linux 8 Sim
Ubuntu 16.04 LTS Não
Ubuntu 18.04 LTS Não
Ubuntu 20.04 LTS Não

Observe que a instalação do pax não resolve o problema raiz com nenhuma distribuição, onde outros caminhos de programa dentro e fora do Zimbra ainda podem fazer com que o cpio processe dados não confiáveis.

Detecção

Segundo a Kasersky, a vulnerabilidade abordada neste post foi explorada durante duas ondas de ataque sucessivas. A primeira, que ocorreu no início de setembro, parece ter sido relativamente direcionada e afetando os sistemas governamentais na Ásia. A segunda, que começou em 30 de setembro, teve um escopo muito mais massivo e foi atrás de todos os servidores vulneráveis ​​localizados em países específicos da Ásia Central. Agora que uma prova de conceito foi adicionada ao Metasploit, esperamos que uma terceira onda comece iminentemente, provavelmente com ransomware como objetivo final desta vez.

Depois de executar as etapas de mitigação mencionadas, os proprietários dos servidores Zimbra são incentivados a verificar se há vestígios de comprometimento. Os seguintes caminhos são locais conhecidos para webshells implantados por agentes mal-intencionados atualmente aproveitando o CVE-2022-41352:

Além disso, vale a pena notar que o exploit Metasploit deixa seu webshell no seguinte local:

 

Remediação

Remover o arquivo não é suficiente. Realizar a desinfecção no Zimbra é extremamente difícil, pois o invasor terá acesso a arquivos de configuração contendo senhas usadas por várias contas de serviço. Essas credenciais podem ser usadas para recuperar o acesso ao servidor se o painel administrativo estiver acessível pela Internet. Além disso, considerando a natureza rudimentar de todos os webshells que descobertos até agora, é quase certo que os invasores implantarão backdoors mais robustos e sofisticados assim que tiverem a chance.

Fonte: SecureList

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!