Frequently Asked Question

3- Zimbra: CVE-2019-9670 - Problema de webmail en blanco
Últimas actualizaciones hace 24 días


Zimbra: Resolver zmcat “problema de webmail en blanco, error al adjuntar ficheros, AJAX webmail not loading” – CVE-2019-9670

.

Si estás usando Zimbra Collaboration y tienes cualquier de estos problemas:

  • Webmail en blanco después del login
  • Error al adjuntar ficheros, cuando antes no sucedía
  • AJAX webmail not loading
Además de estos síntomas, estás ejecutando versiones de Zimbra inferiores a:

  • Zimbra Collaboration 8.8.10 Patch 7 o 8.8.11 Patch 3
  • Zimbra Collaboration 8.7.11 Patch 10
  • Zimbra Collaboration 8.6 Patch 13
  • Cualquier otra versión, ya sea 8.5, 8.0 o 7.x están desprotegidas

Para más información, y antes de entrar en materia, os dejo los CVE por si queréis ojearlos:

  • CVE-2016-9924
  • CVE-2018-20160
  • CVE-2019-9670
  • CVE-2019-9621
Aparte de estas vulnerabilidades, hay algunas más que se mencionan en detalle en el siguiente blog post – https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

Primer paso – COPIA DE SEGURIDAD

¿Tenéis ya backup de vuestro Zimbra? Si tenéis la versión de Network Edition, o Zextras, estar seguros que tenéis backups. De lo contrario, o adicionalmente, descargar Veeam Agent for Linux, que incluso la versión gratuita os permitirá realizar un backup entero del sistema.

  • Restaurando Servidor completo con Zimbra Collaboration 8.7 sobre Ubuntu 16.04 usando Veeam Agent para Linux

Segundo paso – ACTUALIZAR

No importa en la versión que estéis, ya sea 8.8, o 8.7 o 8.6, lo más importante es iros a la web de descargas de Zimbra, y descargar el último parche o versión. Esto es obligatorio antes de hacer nada más.

Cómo solucionar el error del WebClient en blanco (AJAX Webmail not loading)

Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:

Shell

Y como siempre, reiniciar los servicios de Zimbra:

Shell


De todas formas seguir leyendo el post porque no hemos terminado.

Cómo solucionar el error adjunto ficheros al WebClient

Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:

Shell


¿Cómo comprobar si estamos infectados?

La vulnerabilidad es bastante grave y no existe un único exploit, pero lo más normal es que el exploit que se está usando al menos cree un fichero en /tmp/zmcat con lo que si tenéis ese fichero en vuestros Zimbra Collaboration, seguir leyendo.

Además de este fichero, que se trata de un miner de Bitcoin, encontraremos en /tmp dos ejecutables llamados l.sh y s.sh.

El atacante hace uso de estos scripts para crear cuentas en el sistema, usuarios simples y administradores, aparte de poner unos ficheros .jsp y .java y .class en los directorios públicos del WebClient, podemos analizar el /opt/zimbra/log/audit.log y encontraremos algo así:

Shell


Recomendaciones para limpiar zmcat

Ya que no podemos estar 100% seguros del daño que ha realizado zmcat al sistema, además de las cuentas que ha creado, modificado, accedido, ficheros añadidos. Mi recomendación es que uséis la herramienta de migración de Zextras para migrar de vuestro servidor afectado a uno nuevo limpio, instalado de cero con la última versión. Ya sabéis que llevo muchos años escribiendo sobre Zimbra, con lo que espero este consejo os sirva.

Ahora bien, si queréis jugar a Indiana Jones y encontrar el tesoro oculto entre ficheros, directorios, etc.

  • Comenzaremos viendo si el script se está ejecutando, y que procesos tiene con él:

Shell


  • Podéis buscar también por procesos que estén haciendo uso de wget.
  • Eliminaremos todo lo que tengamos en /tmp/ por ejemplo el zmcat, los .sh, etc.
  • También os recomiendo eliminar cualquier .jsp, and .java files creados en las últimas semanas, ya que seguramente tengan un nombre raro y sean parte de este ataque.
  • Eliminar un fichero llamado ZimbraApps.jsp ya que es parte del ataque
  • Sería recomendable cambiar todas las contraseñas del sistema, ya que el atacante ha tenido acceso completo al sistema, con lo que:

Shell


  • Es más, seguramente haya conseguido las claves de SSH, con lo que si queréis también cambiar estas claves:
Shell


Créditos
El Blog de Jorge de la Cruz


Espere, por favor.

Por favor, espere... ¡Es solo un momento!