Frequently Asked Question
3- Zimbra: CVE-2019-9670 - Problema de webmail en blanco
Last Updated 4 years ago
Zimbra: Resolver zmcat “problema de webmail en blanco, error al adjuntar ficheros, AJAX webmail not loading” – CVE-2019-9670

Si estás usando Zimbra Collaboration y tienes cualquier de estos problemas:
- Webmail en blanco después del login
- Error al adjuntar ficheros, cuando antes no sucedía
- AJAX webmail not loading
- Zimbra Collaboration 8.8.10 Patch 7 o 8.8.11 Patch 3
- Zimbra Collaboration 8.7.11 Patch 10
- Zimbra Collaboration 8.6 Patch 13
- Cualquier otra versión, ya sea 8.5, 8.0 o 7.x están desprotegidas
Para más información, y antes de entrar en materia, os dejo los CVE por si queréis ojearlos:
- CVE-2016-9924
- CVE-2018-20160
- CVE-2019-9670
- CVE-2019-9621
Primer paso – COPIA DE SEGURIDAD
¿Tenéis ya backup de vuestro Zimbra? Si tenéis la versión de Network Edition, o Zextras, estar seguros que tenéis backups. De lo contrario, o adicionalmente, descargar Veeam Agent for Linux, que incluso la versión gratuita os permitirá realizar un backup entero del sistema.- Restaurando Servidor completo con Zimbra Collaboration 8.7 sobre Ubuntu 16.04 usando Veeam Agent para Linux
Segundo paso – ACTUALIZAR
No importa en la versión que estéis, ya sea 8.8, o 8.7 o 8.6, lo más importante es iros a la web de descargas de Zimbra, y descargar el último parche o versión. Esto es obligatorio antes de hacer nada más.Cómo solucionar el error del WebClient en blanco (AJAX Webmail not loading)
Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:Shell
Y como siempre, reiniciar los servicios de Zimbra:
Shell
De todas formas seguir leyendo el post porque no hemos terminado.
Cómo solucionar el error adjunto ficheros al WebClient
Esta solución es muy sencilla, como simple paliativo ejecutar lo siguiente como usuario root:Shell
¿Cómo comprobar si estamos infectados?
La vulnerabilidad es bastante grave y no existe un único exploit, pero lo más normal es que el exploit que se está usando al menos cree un fichero en /tmp/zmcat con lo que si tenéis ese fichero en vuestros Zimbra Collaboration, seguir leyendo.Además de este fichero, que se trata de un miner de Bitcoin, encontraremos en /tmp dos ejecutables llamados l.sh y s.sh.
El atacante hace uso de estos scripts para crear cuentas en el sistema, usuarios simples y administradores, aparte de poner unos ficheros .jsp y .java y .class en los directorios públicos del WebClient, podemos analizar el /opt/zimbra/log/audit.log y encontraremos algo así:
Shell
Recomendaciones para limpiar zmcat
Ya que no podemos estar 100% seguros del daño que ha realizado zmcat al sistema, además de las cuentas que ha creado, modificado, accedido, ficheros añadidos. Mi recomendación es que uséis la herramienta de migración de Zextras para migrar de vuestro servidor afectado a uno nuevo limpio, instalado de cero con la última versión. Ya sabéis que llevo muchos años escribiendo sobre Zimbra, con lo que espero este consejo os sirva.Ahora bien, si queréis jugar a Indiana Jones y encontrar el tesoro oculto entre ficheros, directorios, etc.
- Comenzaremos viendo si el script se está ejecutando, y que procesos tiene con él:
Shell
- Podéis buscar también por procesos que estén haciendo uso de wget.
- Eliminaremos todo lo que tengamos en /tmp/ por ejemplo el zmcat, los .sh, etc.
- También os recomiendo eliminar cualquier .jsp, and .java files creados en las últimas semanas, ya que seguramente tengan un nombre raro y sean parte de este ataque.
- Eliminar un fichero llamado ZimbraApps.jsp ya que es parte del ataque
- Sería recomendable cambiar todas las contraseñas del sistema, ya que el atacante ha tenido acceso completo al sistema, con lo que:
Shell
- Es más, seguramente haya conseguido las claves de SSH, con lo que si queréis también cambiar estas claves:
Créditos
El Blog de Jorge de la Cruz