Inicio > Centos, Hacking, Linux, Manuales y tutoriales > Explotando Vulnerabilidad en Zimbra

Explotando Vulnerabilidad en Zimbra

zimbra

Después del alboroto de las fiestas de fin de año, volvemos al ruedo, el pasado diciembre 2013 , fue reportada una vulnerabilidad y publicado su respectivo exploit  , en Zimbra para las versiones 8.0.2 y 7.2.2, el exploit ataca un vector LFI .

Exploit : http://www.exploit-db.com/exploits/30085/

Vector LFI : https://mail.dominio.com/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml

A través de este vector, es posible creación de un usuario administrativo en la plataforma, es decir es posible tomar el control del servidor de correo Zimbra, para leer buzones, crear nuevas cuentas,  y si ya se …  Spamm free !!

Es posible explotar la vulnerabilidad remotamente , si la interfase administrativa de Zimbra (puerto 7071) esta abierta.

A continuación veremos como probar si nuestro Zimbra es vulnerable.

1.- Descargar y configurar el exploit
Para esto utilizaremos kali Linux como sistema operativo base ya que el exploit esta escrito en ruby y en este caso Kali , tiene todas las librerías de Rubi instaladas.

zimbra

2.- Ejecutar el exploit
Si el exploit se ejecuta correctamente, tendremos un resultado como el siguiente:

zimbra

Al parecer nuestro exploit se ejecuta correctamente, ahora ingresaremos con las credenciales creadas

3.- Ingresando como administrador en Zimbra

Ingresamos con el usuario que creamos con en el exploit

zimbra

Y como vemos podemos ingresar como Administradores en Zimbra

zimbra

Ojo versiones de Zimbra con este aspecto también son vulnerables:

zimbra

4.- Parchando

Afortunadamente los desarrolladores de Zimbra han publicado los parches para esta vulnerabilidad

http://www.zimbra.com/forums/announcements/67236-security-guidance-reported-0day-exploit.html

Así que a parchar se ha dicho señores , Feliz 2014 !!

Descargo de responsabilidad: El presente post es una prueba de concepto, hecho con objetivos netamente de defensa y protección, es responsabilidad del lector el uso de este conocimiento.

Anuncios
  1. enero 2, 2014 en 10:43 pm

    No se yo , pero tienes que enfatizar que tu exploit corre con versiones de zimbra reviejas !! antes de la fusion con Vmware

  2. enero 2, 2014 en 10:53 pm

    Hola Carlos

    Gracias por tu comentario, pero primero no es mi exploit, como puedes ver el programa tiene un autor, por otro lado, si has visto la documentación, afecta hasta las versiones del 2013, personalmente he probado en versiones, donde esta el famoso logo de vmware y se completa el proceso sin problema, te animo a que pruebes en tus servidores, ese es el objetivo del post.

    Saludos
    Juan Oliva

  3. Iron Black
    febrero 14, 2014 en 5:24 pm

    hola como como estas, no tengo el puerto 7071 abierto solo tiene el 110 como puedo hacer

  4. febrero 15, 2014 en 5:05 pm

    Hola El exploit es remoto , de lo contrario prueba en tu red lan donde tengas conectividad hacia el puerto 7071

    Saludos
    Juan Oliva

  5. Julio
    marzo 14, 2014 en 2:50 pm

    Tengo una duda, el exploit crea un nuevo usuario administrador o cambia la contraseña del actual?

    • marzo 14, 2014 en 11:52 pm

      Hola Julio

      El exploit crea un nuevo usuario administrador.

      Saludos

  6. Gyprus
    junio 19, 2014 en 7:58 pm

    Man me viene pasando algo y la verdad que no sé como solucionarlo espero que me puedas ayudar cuando trato de ejecutar el exploit me salta error de esto

    ./run.rb: line 17: require: command not found
    ./run.rb: line 18: require: command not found
    ./run.rb: line 19: require: command not found
    ./run.rb: line 21: data: command not found
    ./run.rb: line 23: syntax error near unexpected token `(‘
    ./run.rb: line 23: `def exploit_begin()’

    si bien me fijo las 3 primeras son de las libreria y las otras supongo que sera por que no se incluyen las librerias o no sé vos sabras. Me podrias dar unas solución? Desde ya gracias

  7. junio 19, 2014 en 9:14 pm

    Hola Gyprus

    Desde que plataforma , distribución ..etc y versión, esta ejecutando el exploit ?

    Saludos

    • Gyprus
      julio 3, 2014 en 3:03 pm

      Desde kali , encontre una solucion que era ejecutarlo poniendo ruby exploit.rb por que lo raro es que antes me dejaba ejecutarlo desde ./exploit.rb

  8. Gyprus
    julio 7, 2014 en 3:45 am

    ahora me surge otro problema :S

    [+] Looking if host is vuln…
    /usr/lib/ruby/1.9.1/net/http.rb:762:in `initialize’: getaddrinfo: Name or service not known (SocketError)
    from /usr/lib/ruby/1.9.1/net/http.rb:762:in `open’
    from /usr/lib/ruby/1.9.1/net/http.rb:762:in `block in connect’
    from /usr/lib/ruby/1.9.1/timeout.rb:54:in `timeout’
    from /usr/lib/ruby/1.9.1/timeout.rb:99:in `timeout’
    from /usr/lib/ruby/1.9.1/net/http.rb:762:in `connect’
    from /usr/lib/ruby/1.9.1/net/http.rb:755:in `do_start’
    from /usr/lib/ruby/1.9.1/net/http.rb:744:in `start’
    from /usr/lib/ruby/1.9.1/net/http.rb:1284:in `request’
    from run.rb:31:in `exploit_begin’
    from run.rb:156:in `’

    Ayudaaaaaaaaaaa !! 😦

  9. julio 7, 2014 en 2:25 pm

    Desde Kali 1.05 y 1.07 no tengo inconveniente, trata de actualizar metasploit para que actualice dependencias de rubi , quizás por hay este el problema.

    Saludos
    Juan

    • diciembre 22, 2014 en 5:26 am

      Hola, tengo el mismo problema. Ya actualice metasploit y sigue igual, me podrías ayudar? Saludos!

  10. LP
    octubre 22, 2014 en 7:30 pm

    Intente probar la vulnerabilidad en mi servidor, y al parecer si es vulnerable, pero al momento que sale el mensaje [+] Host is vuln exploiting, se cancela el script, tendras idea de q podría ser esto??

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: