Una persona identificada como rubina119 ha publicado una vulnerabilidad y un exploit 0-day en el servidor de correo Zimbra que, a través de la explotación de una Local File Inclusión permite una elevación de privilegios para obtener las credenciales administrativas del servidor.
La vulnerabilidad se encuentra en el archivo “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.ZGZ” y a través de la misma se puede visualizar el archivo “localconfig.xml” que contiene las credenciales de LDAP y así se puede crear un usuario con privilegios para obtener acceso a la consola de administración.
Para utilizar el exploit, el servidor debe tener el puerto 7071 de la consola administrativa abierto y se debe conocer al menos un usuario del sistema de correo. Según el autor hasta el 80% de los servidores en línea podrían ser vulnerables, por lo que sería recomendable revisar tu configuración.
El equipo de Zimbra confirma que la vulnerabilidad fue reportada en febrero de este año y solucionada en la versión 8.0.3, por lo cual es recomendable actualizar a esta versión (o superior) a la brevedad.