Exploit Zero Day para o Zimbra - escalada de privilégios a partir do uso de LFI

Você acorda domingão, tarde para caramba e vai bater papo com aquele amigo nerd que também já está on line. 

Oh God, Why ?

Aí você inocentemente vai conversando com ele e o cara naquele ímpeto psicótico ( Obrigado Sr. Raphael ) te manda um link de um Zero Day para o Zimbra

O que este singelo script ( implementado em Ruby ) executa é uma inclusão de arquivos locais em onde a partir disto é possível ver o arquivo localconfig.xml que contém todas as credenciais do LDAP e permite que se possa fazer requisições dentro do api do /service/admin/api com as credenciais que foram conseguidas anteriormente para criar um usuário com privilégios de administração, e voi lá, tamos com a console em mãos.

As versões afetadas do Zimbra são: 2009, 2010, 2011, 2012 e algumas versões 2013 ( ou seja, se tem o Zimbra instalado está com problemas ). 

Não há uma CVE ( é zero-day ) nem pronunciamento oficial do pessoal do Zimbra, mas de cara é bom fazer um bloqueio do acesso a porta 7071/tcp pois é a partir dela que o exploit faz a conexão ( procure pela linha 11 no arquivo ultils.rb ). 

Como você vai bloquear isto já cabe a sua criatividade :-) 

Como o próprio Raphael disse e eu também acredito, teremos na próxima semana um grande aumento de spams rolando por aí e ao mesmo tempo, eu, pessoalmente acredito também em um volume razoável de possíveis quebras de sigilo ( ou seja, dados de muitas empresas sendo 'raptados' a partir deste exploit ). 

Joinha

Assim, fecho este post deixando seu domingo mais feliz e pensando no quanto tem trabalho amanhã para fechar todos os seus Zimbras