Gli esperti di Kaspersky hanno rilevato che gruppi APT sconosciuti stanno attivamente sfruttando la vulnerabilit\u00e0 CVE-2022-41352, recentemente scoperta nel software Zimbra Collaboration. Almeno uno di questi gruppi sta attaccando i server vulnerabili in Asia Centrale.<\/p>\n
Questa vulnerabilit\u00e0 risiede nell\u2019utility di archiviazione cpio<\/em>, utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis<\/em>, il quale decomprime e analizza gli archivi. Gli hacker possono creare un archivio .tar dannoso con all\u2019interno una web-shell e inviarlo a un server che esegue il software Zimbra Collaboration vulnerabile. Quando Amavis<\/em> inizia a controllare questo archivio, richiama l\u2019utility cpio<\/em> che decomprime la web-shell in una delle directory pubbliche. A questo punto i criminali devono solo eseguire la loro web-shell e iniziare a eseguire comandi arbitrari sul server attaccato. In altre parole, questa vulnerabilit\u00e0 \u00e8 simile a quella del modulo tarfile<\/a>.<\/p>\n Potete trovare una descrizione tecnica pi\u00f9 dettagliata della vulnerabilit\u00e0 nel post sul blog di Securelist<\/a>. Tra l\u2019altro, il post include un elenco con le directory in cui gli hacker hanno collocato la loro web-shell (nei casi analizzati dai nostri esperti).<\/p>\n L\u2019aspetto particolarmente pericoloso \u00e8 che l\u2019exploit per questa vulnerabilit\u00e0 \u00e8 stato aggiunto al Metasploit Framework, uno strumento in teoria creato nell\u2019ambito di un proggetto di sicurezza informatica e pentesting<\/em>, ma che in realt\u00e0 viene spesso utilizzata dai criminali informatici per attacchi reali. Quindi, l\u2019exploit per CVE-2022-41352 ora pu\u00f2 essere utilizzato anche da criminali informatici alle prime armi.<\/p>\n Il 14 ottobre Zimbra ha rilasciato una patch insieme alle istruzioni per l\u2019installazione, quindi la prima cosa da fare \u00e8 logicamente installare gli aggiornamenti pi\u00f9 recenti che si possono trovare qui<\/a>. Se per qualche motivo non \u00e8 possibile installare la patch, esiste un workaround: l\u2019attacco pu\u00f2 essere evitato installando l\u2019utility pax<\/em> su un server vulnerabile. In questo caso, Amavis<\/em> utilizzer\u00e0 pax<\/em> per decomprimere gli archivi .tar invece di cpio<\/em>. Tuttavia, non dimenticate che questa non \u00e8 una vera soluzione al problema: in teoria, gli hacker possono trovare un altro modo per sfruttare cpio<\/em>.<\/p>\n Se si sospetta di essere stati attaccati attraverso questa vulnerabilit\u00e0 o se si trova una web-shell in una delle directory elencate su Securelist<\/a>, i nostri esperti consigliano di contattare il team di Incident Response<\/a>. \u00c8 possibile che gli hacker abbiano gi\u00e0 ottenuto l\u2019accesso agli account di altri servizi o addirittura abbiano installato delle backdoor. In questo modo, avranno la possibilit\u00e0 di accedere nuovamente al sistema attaccato anche se la web-shell viene rimossa.<\/p>\nCome proteggersi<\/h3>\n