{"id":27960,"date":"2022-10-20T08:59:14","date_gmt":"2022-10-20T06:59:14","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27960"},"modified":"2022-10-20T08:59:14","modified_gmt":"2022-10-20T06:59:14","slug":"zimbra-cve-2022-41352-itw","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/zimbra-cve-2022-41352-itw\/27960\/","title":{"rendered":"Una vulnerabilidad en Zimbra que explota ITW"},"content":{"rendered":"

Los expertos de Kaspersky han encontrado una explotaci\u00f3n en curso de la vulnerabilidad CVE-2022-41352 descubierta recientemente en el software<\/em> colaborativo de Zimbra por parte de grupos desconocidos de APT. Al menos uno de esos grupos est\u00e1 atacando servidores vulnerables en Asia Central.<\/p>\n

\u00bfQu\u00e9 es CVE-2022-41352 y por qu\u00e9 es tan peligrosa?<\/h2>\n

Se ha encontrado esta vulnerabilidad en la herramienta de desempaquetado de archivos llamada cpio que utiliza el filtro de contenido de Amavis y que, a su vez, es parte de la suite<\/em> colaborativa de Zimbra. Los atacantes pueden crear un archivo .tar malicioso con una web shell<\/em> en su interior y enviarlo a un servidor que ejecute el software<\/em> vulnerable de Zimbra. Cuando el filtro Amavis comienza a verificar este archivo, este llama a la herramienta cpio, que extrae la web shell<\/em> en uno de los directorios p\u00fablicos. Despu\u00e9s, los delincuentes deben ejecutar su web shell<\/em> y comenzar a ejecutar comandos arbitrarios en el servidor atacado. En otras palabras, esta vulnerabilidad es similar a la del m\u00f3dulo tarfile<\/a>.<\/p>\n

Puedes encontrar una descripci\u00f3n t\u00e9cnica m\u00e1s detallada sobre la vulnerabilidad en esta publicaci\u00f3n del blog de Securelist<\/a>. Entre otras cosas, esta entrada del blog enumera los directorios en los que los atacantes colocaron su web shell<\/em> en los ataques investigados por nuestros expertos.<\/p>\n

Lo que es especialmente peligroso es que el exploit<\/em> para esta vulnerabilidad se agreg\u00f3 a Metasploit Framework, una plataforma que, en teor\u00eda, sirve para la investigaci\u00f3n de seguridad y la realizaci\u00f3n de pruebas, pero que, en realidad, los ciberdelincuentes suelen utilizar para ataques reales. Por ello, el exploit<\/em> para CVE-2022-41352 ahora puede ser utilizado incluso por ciberdelincuentes inexpertos.<\/p>\n

\u00bfC\u00f3mo protegerse?<\/h2>\n

El 14 de octubre, Zimbra lanz\u00f3 un parche junto con las instrucciones de instalaci\u00f3n, por lo que el primer paso l\u00f3gico ser\u00eda instalar las actualizaciones m\u00e1s recientes que encontrarar\u00e1s aqu\u00ed<\/a>. Si por alguna raz\u00f3n no puedes instalar este parche, hay una soluci\u00f3n alternativa: el ataque puede prevenirse al instalar la herramienta pax en un servidor vulnerable. En este caso, Amavis usar\u00e1 pax en lugar de cpio para extraer archivos .tar. Sin embargo, no hay que olvidar que esta no es una soluci\u00f3n real al problema: en teor\u00eda, los atacantes pueden encontrar otra forma de explotar cpio.<\/p>\n

Si sospechas que est\u00e1s siendo atacado por esta vulnerabilidad o si encuentras una web shell<\/em> en uno de los directorios enumerados en Securelist<\/a>, nuestros expertos te recomiendan que te pongas en contacto con los especialistas en respuesta a incidentes<\/a>. Podr\u00eda ocurrir que los atacantes ya hayan obtenido acceso a otras cuentas de servicio o incluso hayan instalado puertas traseras. Esto les dar\u00e1 la oportunidad de recuperar el acceso al sistema atacado incluso si se elimina la web shell.<\/em><\/p>\n

Las soluciones de seguridad de Kaspersky<\/a> detectan y bloquean con \u00e9xito los intentos de aprovechar la vulnerabilidad CVE-2022-41352.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los servidores que tienen la suite colaborativa de Zimbra instalada est\u00e1n siendo atacados mediante una herramienta de desempaquetado de archivos. <\/p>\n","protected":false},"author":2698,"featured_media":27962,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[368,696,784],"class_list":{"0":"post-27960","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-linux","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zimbra-cve-2022-41352-itw\/27960\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zimbra-cve-2022-41352-itw\/24763\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zimbra-cve-2022-41352-itw\/20241\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zimbra-cve-2022-41352-itw\/27240\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zimbra-cve-2022-41352-itw\/25091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zimbra-cve-2022-41352-itw\/25410\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zimbra-cve-2022-41352-itw\/27264\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zimbra-cve-2022-41352-itw\/34109\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zimbra-cve-2022-41352-itw\/11115\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zimbra-cve-2022-41352-itw\/45803\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zimbra-cve-2022-41352-itw\/19622\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zimbra-cve-2022-41352-itw\/20187\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zimbra-cve-2022-41352-itw\/29403\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zimbra-cve-2022-41352-itw\/32656\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zimbra-cve-2022-41352-itw\/25520\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zimbra-cve-2022-41352-itw\/31138\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zimbra-cve-2022-41352-itw\/30844\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27960"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27960\/revisions"}],"predecessor-version":[{"id":27961,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27960\/revisions\/27961"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27962"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27960"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27960"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}