Os especialistas da Kaspersky descobriram a exploração contínua da vulnerabilidade CVE-2022-41352, recentemente descoberta no software Zimbra Collaboration por grupos de APTs desconhecidos. Pelo menos um desses grupos está atacando servidores vulneráveis na Ásia Central.
O que é a CVE-2022-41352 e por que é tão perigosa?
Essa vulnerabilidade foi encontrada no utilitário de descompactação de arquivo chamado cpio, que é usado pelo filtro de conteúdo Amavis, que por sua vez faz parte do pacote Zimbra Collaboration. Os invasores podem criar um arquivo .tar malicioso com um web-shell dentro e enviá-lo para um servidor que executa o software Zimbra Collaboration vulnerável. Quando o filtro Amavis começa a verificar este arquivo, ele chama o utilitário cpio, que descompacta o web-shell para um dos diretórios públicos. Então os criminosos só precisam executar o web-shell e começar a enviar comandos arbitrários no servidor atacado. Em outras palavras, essa vulnerabilidade é semelhante a do módulo tarfile.
Uma descrição técnica mais detalhada da vulnerabilidade pode ser encontrada na postagem do blog da Securelist. Entre outras coisas, o texto lista os diretórios por meio dos quais os invasores colocaram o web-shell nos ataques investigados por nossos especialistas.
O que é especialmente perigoso neste caso é que a exploração dessa vulnerabilidade foi adicionada ao Metasploit Framework – uma plataforma que teoricamente serve para pesquisa de segurança e realização de testes, mas na verdade é frequentemente usada por cibercriminosos para ataques reais. Assim, o exploit para CVE-2022-41352 agora pode ser usado mesmo por cibercriminosos amadores.
Como se manter protegido
Em 14 de outubro, o Zimbra lançou uma patch junto com as instruções de instalação, então o primeiro passo é instalar as atualizações mais recentes que podem ser encontradas aqui. Se por algum motivo você não conseguir instalar esta correção, existe uma solução alternativa: o ataque pode ser evitado instalando o utilitário pax em um servidor vulnerável. Neste caso Amavis usará pax para descompactar arquivos .tar ao invés de cpio. No entanto, não se esqueça de que esta não é uma solução real para o problema, pois teoricamente, os invasores podem encontrar outra maneira de explorar o cpio.
Se você suspeitar que está sendo atacado por essa vulnerabilidade ou se encontrar um web-shell em um dos diretórios listados no Securelist, nossos especialistas recomendam entrar em contato com especialistas de resposta a incidentes . Pode ser que os invasores já tenham obtido acesso a outras contas de serviço ou até mesmo a backdoors instaladas. Isso lhes dará a oportunidade de recuperar o acesso ao sistema atacado, mesmo que o web-shell seja removido.
As soluções de segurança Kaspersky detectam e bloqueiam com êxito as tentativas de explorar a vulnerabilidade CVE-2022-41352.