blog.ehcgroup.io
Open in
urlscan Pro
161.35.57.90
Public Scan
URL:
https://blog.ehcgroup.io/2022/10/10/17/30/25/14064/vulnerabilidad-critica-en-zimbra-con-exploit-publicos-cve-2022-41352/c...
Submission: On October 11 via api from RO — Scanned from DE
Submission: On October 11 via api from RO — Scanned from DE
Form analysis 4 forms found in the DOM
GET https://blog.ehcgroup.io/
<form role="search" method="get" class="search-form" action="https://blog.ehcgroup.io/">
<label>
<span class="screen-reader-text">Buscar:</span>
<input type="search" class="search-field" placeholder="Buscar …" value="" name="s">
</label>
<input type="submit" class="search-submit" value="Buscar">
</form>GET https://blog.ehcgroup.io/
<form role="search" method="get" class="search-form" action="https://blog.ehcgroup.io/">
<label>
<span class="screen-reader-text">Buscar:</span>
<input type="search" class="search-field" placeholder="Buscar …" value="" name="s">
</label>
<input type="submit" class="search-submit" value="Buscar">
</form>GET https://blog.ehcgroup.io
<form action="https://blog.ehcgroup.io" method="get"><label class="screen-reader-text" for="cat">Categorías</label><select name="cat" id="cat" class="postform">
<option value="-1">Elegir la categoría</option>
<option class="level-0" value="54">Android</option>
<option class="level-0" value="2">Anonymous</option>
<option class="level-0" value="3">ATMs</option>
<option class="level-0" value="4">Bases de Datos</option>
<option class="level-0" value="5">Big Data</option>
<option class="level-0" value="6">Bolivia</option>
<option class="level-0" value="55">Ciberbulling</option>
<option class="level-0" value="7">Ciberdefensa</option>
<option class="level-0" value="56">Ciberdelitos</option>
<option class="level-0" value="420">ciberextorsión</option>
<option class="level-0" value="2131">CISA</option>
<option class="level-0" value="2056">Coronavirus</option>
<option class="level-0" value="8">Criptografía</option>
<option class="level-0" value="2102">Crypto</option>
<option class="level-0" value="9">CTF</option>
<option class="level-0" value="10">Cursos</option>
<option class="level-0" value="2130">CVE</option>
<option class="level-0" value="11">Delitos informáticos</option>
<option class="level-0" value="12">Derecho Informático</option>
<option class="level-0" value="13">Entrevistas</option>
<option class="level-0" value="14">Espionaje</option>
<option class="level-0" value="15">Eventos de Seguridad</option>
<option class="level-0" value="2098">Exploits</option>
<option class="level-0" value="16">Facebook</option>
<option class="level-0" value="57">Framework</option>
<option class="level-0" value="17">GNU/Linux</option>
<option class="level-0" value="18">Google</option>
<option class="level-0" value="19">Grooming</option>
<option class="level-0" value="20">Hacking</option>
<option class="level-0" value="21">Herramientas de Seguridad</option>
<option class="level-0" value="22">Informática Forense</option>
<option class="level-0" value="23">Kali Linux</option>
<option class="level-0" value="24">Libros y Publicaciones</option>
<option class="level-0" value="2044">Linux</option>
<option class="level-0" value="25">Mac</option>
<option class="level-0" value="1993">malware</option>
<option class="level-0" value="26">Megatools</option>
<option class="level-0" value="27">Microsoft</option>
<option class="level-0" value="28">Money Security</option>
<option class="level-0" value="29">Noticias de Seguridad</option>
<option class="level-0" value="30">Noticias EHC</option>
<option class="level-0" value="31">NoTwitt</option>
<option class="level-0" value="32">Novedades</option>
<option class="level-0" value="33">NSA</option>
<option class="level-0" value="34">Oportunidad Laboral</option>
<option class="level-0" value="35">OSINT</option>
<option class="level-0" value="36">Pentesting</option>
<option class="level-0" value="1989">Phishing</option>
<option class="level-0" value="2086">Privacidad</option>
<option class="level-0" value="37">Propiedad Intelectual</option>
<option class="level-0" value="38">Protección de Datos</option>
<option class="level-0" value="39">Puerto Rico</option>
<option class="level-0" value="419">Ransonware</option>
<option class="level-0" value="2144">Retos</option>
<option class="level-0" value="40">retwitt</option>
<option class="level-0" value="41">Seguridad Bancaria</option>
<option class="level-0" value="42">Seguridad Informática</option>
<option class="level-0" value="43">Sexting</option>
<option class="level-0" value="1">Sin categoría</option>
<option class="level-0" value="44">Sistemas Operativos</option>
<option class="level-0" value="45">skype</option>
<option class="level-0" value="46">Smartphones</option>
<option class="level-0" value="47">Tecnología</option>
<option class="level-0" value="48">Trabaja en EHC</option>
<option class="level-0" value="49">Training y Capacitación</option>
<option class="level-0" value="50">Troyanos</option>
<option class="level-0" value="51">Vulnerabilidades</option>
<option class="level-0" value="52">whatsapp</option>
<option class="level-0" value="53">Windows</option>
</select>
</form>POST
<form id="mc4wp-form-1" class="mc4wp-form mc4wp-form-8503" method="post" data-id="8503" data-name="">
<div class="mc4wp-form-fields">
<p>
<label>Email: <input type="email" name="EMAIL" placeholder="Ingrese su correo" required="">
</label>
</p>
<p>
<input type="submit" value="Suscribirse">
</p>
</div><label style="display: none !important;">Deja vacío este campo si eres humano: <input type="text" name="_mc4wp_honeypot" value="" tabindex="-1" autocomplete="off"></label><input type="hidden" name="_mc4wp_timestamp" value="1665494831"><input
type="hidden" name="_mc4wp_form_id" value="8503"><input type="hidden" name="_mc4wp_form_element_id" value="mc4wp-form-1">
<div class="mc4wp-response"></div>
</form>Text Content
*
*
Blog EHCGroup
Noticias recientes de ciberseguridad, 100% libre de Publicidad
Menú principal
* Contáctanos
Ir al contenido
Buscar:
* Inicio
* 2022
* octubre
* 10
* CVE
* ehacking
* Vulnerabilidad crítica en Zimbra con Exploit públicos (CVE-2022-41352)
VULNERABILIDAD CRÍTICA EN ZIMBRA CON EXPLOIT PÚBLICOS (CVE-2022-41352)
Publicado en 10 octubre, 202210 octubre, 2022 por ehacking
Se descubrió una vulnerabilidad en Zimbra Collaboration (ZCS) 8.8.15 a 9.0. Un
atacante puede cargar archivos arbitrarios a través de amavisd a través de un
error de cpio. Actualmente esta vulnerabilidad está siendo explotada
activamente, no existe el parche y, por eso, Zimbra recomienda el uso
de pax sobre cpio.
El 25 de septiembre de 2022, se publicó CVE-2022-41352 (9.8) para Zimbra
Collaboration Suite. La vulnerabilidad es una falla de Ejecución Remota de
Código (RCE) que surge del uso inseguro de la utilidad cpio, específicamente del
uso del motor antivirus de Zimbra (Amavis) para escanear correos electrónicos
entrantes. CVE-2022-41352 es efectivamente idéntico a CVE-2022-30333, solo un
formato de archivo diferente (.cpio y .tar en lugar de archivos .rar).
Para aprovechar esta vulnerabilidad, un atacante enviaría por correo electrónico
un archivo .cpio, .tar o .rpm a un servidor afectado. Cuando Amavis lo
inspecciona en busca de malware, usa cpio para extraer el archivo. Dado que cpio
no tiene un modo en el que se pueda usar de forma segura en archivos que no son
de confianza (como se explica en este artículo sobre CVE-2015-1197), el atacante
puede escribir en cualquier ruta del sistema de archivos a la que pueda acceder
el usuario de «zimbra». El resultado más probable es que el atacante plante una
shell en el directorio raíz de la web para obtener la ejecución remota del
código, aunque es probable que existan otras vías.
A octubre de 2022, CVE-2022-41352 aún no está parcheado y Zimbra lo ha
reconocido, por lo que recomienda mitigaciones, debido a su explotación activa.
SISTEMAS AFECTADOS
Para ser explotable, deben darse dos condiciones:
* Se debe instalar una versión vulnerable de cpio, que es el caso en
básicamente todos los sistemas instalados por defecto.
* La utilidad pax no debe estar instalada, ya que Amavisd prefiere pax y pax no
es vulnerable. Desafortunadamente, pax no está instalado de forma
predeterminada en las distribuciones basadas en Red Hat y, por lo tanto, son
vulnerables de forma predeterminada. Probamos todas las distribuciones de
Linux (actuales) que Zimbra admite oficialmente en sus configuraciones
predeterminadas y determinamos que:
* Oracle Linux 8 – vulnerable
* Red Hat Enterprise Linux 8 – vulnerable
* Rocky Linux 8 – vulnerable
* CentOS 8 – vulnerable
* Ubuntu 20.04 – no vulnerable (pax está instalado de forma predeterminada)
* Ubuntu 18.04 – no vulnerable (pax está instalado, cpio tiene el parche
personalizado de Ubuntu)
Zimbra dice que su plan es eliminar por completo la dependencia de cpio haciendo
que pax sea un requisito previo para Zimbra Collaboration Suite. Cambiar a pax
es probablemente la mejor opción, ya que cpio no se puede usar de forma segura
ya que la mayoría de los principales sistemas operativos eliminaron su parche de
seguridad.
POC
Ya existen demostraciones que crean un archivo .jsp en la raíz web que imprime
un «Hello World!» y sería trivial cambiarlo por una webshell.
Además de esta vulnerabilidad Zero-Day en cpio, Zimbra también sufre una
vulnerabilidad de escalamiento de privilegios Zero-Day, que ya tiene un módulo
Metasploit. ¡Eso significa que este día cero en cpio puede llevar directamente
al compromiso remoto de los servidores de Zimbra Collaboration Suite!
RECOMENDACIONES
Recomendamos monitorear las actualizaciones de Zimbra, así como aplicar la
solución alternativa recomendada, que es instalar la utilidad de archivo pax y
luego reiniciar. Si está instalado, Amavis usará pax sobre cpio.
> Fuente y redacción: segu-info.com.ar
Compartir
* Compartir
* Tweet
* Compartir
CVECiberseguridad, CVE, Cybersecurity, exploit, hacking, vulnerabilidad crítica,
vulnerabilidades
ARTÍCULOS RELACIONADOS
MÁS DE UNA DOCENA DE FALLAS ENCONTRADAS EN EL SISTEMA DE GESTIÓN DE REDES
INDUSTRIALES DE SIEMENS
LAS NUEVAS VULNERABILIDADES DEL FIRMWARE UEFI DE LENOVO AFECTAN A MILLONES DE
PORTÁTILES
GOOGLE LANZA ACTUALIZACIÓN URGENTE DE CHROME PARA PARCHAR UNA NUEVA
VULNERABILIDAD 0-DAY
NAVEGACIÓN DE ENTRADAS
Anterior Entrada anterior: Microsoft emite mitigaciones mejoradas para
vulnerabilidades de servidores Exchange sin parches
DESCUBRE NUESTRA SOLUCIÓN PENTEST365
Buscar:
ENTRADAS RECIENTES
* Vulnerabilidad crítica en Zimbra con Exploit públicos (CVE-2022-41352)
* Microsoft emite mitigaciones mejoradas para vulnerabilidades de servidores
Exchange sin parches
* Intel confirma la fuga del código fuente del BIOS de Alder Lake
CATEGORÍAS
Categorías Elegir la categoría Android Anonymous ATMs Bases de Datos Big Data
Bolivia Ciberbulling Ciberdefensa Ciberdelitos ciberextorsión CISA Coronavirus
Criptografía Crypto CTF Cursos CVE Delitos informáticos Derecho Informático
Entrevistas Espionaje Eventos de Seguridad Exploits Facebook Framework GNU/Linux
Google Grooming Hacking Herramientas de Seguridad Informática Forense Kali Linux
Libros y Publicaciones Linux Mac malware Megatools Microsoft Money Security
Noticias de Seguridad Noticias EHC NoTwitt Novedades NSA Oportunidad Laboral
OSINT Pentesting Phishing Privacidad Propiedad Intelectual Protección de Datos
Puerto Rico Ransonware Retos retwitt Seguridad Bancaria Seguridad Informática
Sexting Sin categoría Sistemas Operativos skype Smartphones Tecnología Trabaja
en EHC Training y Capacitación Troyanos Vulnerabilidades whatsapp Windows
BOLETÍN DE CIBERSEGURIDAD
Email:
Deja vacío este campo si eres humano:
RSS Feeds
EHCGroup 2022 Tema: Minimal Grid por Thememattic