I server con installato Zimbra Collaboration Suite sono stati attaccati attraverso un’utility per decomprimere gli archivi
Gli esperti di Kaspersky hanno rilevato che gruppi APT sconosciuti stanno attivamente sfruttando la vulnerabilità CVE-2022-41352, recentemente scoperta nel software Zimbra Collaboration. Almeno uno di questi gruppi sta attaccando i server vulnerabili in Asia Centrale.
Cos’è CVE-2022-41352 e perché è così pericolosa?
Questa vulnerabilità risiede nell’utility di archiviazione cpio, utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis, il quale decomprime e analizza gli archivi. Gli hacker possono creare un archivio .tar dannoso con all’interno una web-shell e inviarlo a un server che esegue il software Zimbra Collaboration vulnerabile. Quando Amavis inizia a controllare questo archivio, richiama l’utility cpio che decomprime la web-shell in una delle directory pubbliche. A questo punto i criminali devono solo eseguire la loro web-shell e iniziare a eseguire comandi arbitrari sul server attaccato. In altre parole, questa vulnerabilità è simile a quella del modulo tarfile.
Potete trovare una descrizione tecnica più dettagliata della vulnerabilità nel post sul blog di Securelist. Tra l’altro, il post include un elenco con le directory in cui gli hacker hanno collocato la loro web-shell (nei casi analizzati dai nostri esperti).
L’aspetto particolarmente pericoloso è che l’exploit per questa vulnerabilità è stato aggiunto al Metasploit Framework, uno strumento in teoria creato nell’ambito di un proggetto di sicurezza informatica e pentesting, ma che in realtà viene spesso utilizzata dai criminali informatici per attacchi reali. Quindi, l’exploit per CVE-2022-41352 ora può essere utilizzato anche da criminali informatici alle prime armi.
Come proteggersi
Il 14 ottobre Zimbra ha rilasciato una patch insieme alle istruzioni per l’installazione, quindi la prima cosa da fare è logicamente installare gli aggiornamenti più recenti che si possono trovare qui. Se per qualche motivo non è possibile installare la patch, esiste un workaround: l’attacco può essere evitato installando l’utility pax su un server vulnerabile. In questo caso, Amavis utilizzerà pax per decomprimere gli archivi .tar invece di cpio. Tuttavia, non dimenticate che questa non è una vera soluzione al problema: in teoria, gli hacker possono trovare un altro modo per sfruttare cpio.
Le soluzioni Kaspersky rilevano e bloccano con successo i tentativi di sfruttamento della vulnerabilità CVE-2022-41352.
Per ulteriori informazioni: dircom@argonavis.it