Os especialistas da Kaspersky descobriram a explora\u00e7\u00e3o cont\u00ednua da vulnerabilidade CVE-2022-41352, recentemente descoberta no software Zimbra Collaboration por grupos de APTs desconhecidos. Pelo menos um desses grupos est\u00e1 atacando servidores vulner\u00e1veis \u200b\u200bna \u00c1sia Central.<\/p>\n
Essa vulnerabilidade foi encontrada no utilit\u00e1rio de descompacta\u00e7\u00e3o de arquivo chamado cpio, que \u00e9 usado pelo filtro de conte\u00fado Amavis, que por sua vez faz parte do pacote Zimbra Collaboration. Os invasores podem criar um arquivo .tar malicioso com um web-shell dentro e envi\u00e1-lo para um servidor que executa o software Zimbra Collaboration vulner\u00e1vel. Quando o filtro Amavis come\u00e7a a verificar este arquivo, ele chama o utilit\u00e1rio cpio, que descompacta o web-shell para um dos diret\u00f3rios p\u00fablicos. Ent\u00e3o os criminosos s\u00f3 precisam executar o web-shell e come\u00e7ar a enviar comandos arbitr\u00e1rios no servidor atacado. Em outras palavras, essa vulnerabilidade \u00e9 semelhante a do m\u00f3dulo tarfile<\/a>.<\/p>\n Uma descri\u00e7\u00e3o t\u00e9cnica mais detalhada da vulnerabilidade pode ser encontrada na postagem do blog da Securelist<\/a>. Entre outras coisas, o texto lista os diret\u00f3rios por meio dos quais os invasores colocaram o web-shell nos ataques investigados por nossos especialistas.<\/p>\n O que \u00e9 especialmente perigoso neste caso \u00e9 que a explora\u00e7\u00e3o dessa vulnerabilidade foi adicionada ao Metasploit Framework \u2013 uma plataforma que teoricamente serve para pesquisa de seguran\u00e7a e realiza\u00e7\u00e3o de testes, mas na verdade \u00e9 frequentemente usada por cibercriminosos para ataques reais. Assim, o exploit para CVE-2022-41352 agora pode ser usado mesmo por cibercriminosos amadores.<\/p>\n Em 14 de outubro, o Zimbra lan\u00e7ou uma patch junto com as instru\u00e7\u00f5es de instala\u00e7\u00e3o, ent\u00e3o o primeiro passo \u00e9 instalar as atualiza\u00e7\u00f5es mais recentes que podem ser encontradas aqui<\/a>. Se por algum motivo voc\u00ea n\u00e3o conseguir instalar esta corre\u00e7\u00e3o, existe uma solu\u00e7\u00e3o alternativa: o ataque pode ser evitado instalando o utilit\u00e1rio pax em um servidor vulner\u00e1vel. Neste caso Amavis usar\u00e1 pax para descompactar arquivos .tar ao inv\u00e9s de cpio. No entanto, n\u00e3o se esque\u00e7a de que esta n\u00e3o \u00e9 uma solu\u00e7\u00e3o real para o problema, pois teoricamente, os invasores podem encontrar outra maneira de explorar o cpio.<\/p>\n Se voc\u00ea suspeitar que est\u00e1 sendo atacado por essa vulnerabilidade ou se encontrar um web-shell em um dos diret\u00f3rios listados no Securelist<\/a>, nossos especialistas recomendam entrar em contato com especialistas de resposta a incidentes<\/a> . Pode ser que os invasores j\u00e1 tenham obtido acesso a outras contas de servi\u00e7o ou at\u00e9 mesmo a backdoors instaladas. Isso lhes dar\u00e1 a oportunidade de recuperar o acesso ao sistema atacado, mesmo que o web-shell seja removido.<\/p>\nComo se manter protegido<\/h2>\n