# CVE-2022-27925 > [!high] RCE por Path Traversal no Zimbra Collaboration Suite - CVSS 7.2 > Vulnerabilidade de execução remota de código via path traversal no componente mboximport do Zimbra. Explorada em campanhas de espionagem contra governos e organizações diplomáticas globalmente. ## Visão Geral A [[cve-2022-27925|CVE-2022-27925]] é uma vulnerabilidade de execução remota de código (RCE) no [[zimbra-collaboration-suite|Zimbra Collaboration Suite]], um dos servidores de email corporativo mais utilizados fora do ecossistema Microsoft. A falha reside no componente **mboximport**, que permite a importação de dados de caixa de correio, e pode ser explorada por atacantes autenticados com privilégios administrativos para fazer upload de arquivos arbitrários e executar código no servidor. Apesar do CVSS base de 7.2 (requerendo autenticação admin), esta vulnerabilidade foi amplamente explorada em combinação com outras falhas Zimbra - especialmente junto à [[cve-2022-27926|CVE-2022-27926]] (XSS para roubo de token admin) - criando uma cadeia de ataque não autenticado efetiva. CISA emitiu alerta dedicado sobre a exploração ativa desta cadeia. O Zimbra possui base significativa em organizações governamentais, universidades e empresas de médio porte no Brasil e América Latina, representando superfície de ataque relevante para campanhas de espionagem e acesso inicial. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal - RCE | | Componente | `mboximport` - Zimbra Mailbox Import | | Vetor | Rede (requer admin) | | Complexidade | Baixa | | Cadeia com CVE-2022-27926 | Permite bypass de autenticação | ### Vetor de Ataque ``` CVE-2022-27926 (XSS) → Roubo de Token Admin CVE-2022-27925 (Path Traversal) → Upload JSP Shell → RCE ``` O endpoint `mboximport` não válida adequadamente os nomes de arquivo no upload, permitindo traversal (`../`) para escrita fora do diretório temporário, incluindo o diretório web root do Zimbra, onde um arquivo JSP pode ser executado como web shell. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Zimbra exposto | | [[t1505-003-web-shell\|T1505.003]] | JSP web shell via mboximport | | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails pós-acesso | | [[t1083-file-and-directory-discovery\|T1083]] | Descoberta de arquivos no servidor de email | ## Detecção e Defesa **Mitigações:** - Atualizar Zimbra para versões 8.8.15p31 ou 9.0.0p24+ - [[m1051-update-software\|M1051]] - Atualização urgente do servidor Zimbra - Restringir acesso ao painel administrativo por IP - [[m1018-user-account-management\|M1018]] - Revisar contas admin do Zimbra - Verificar arquivos `.jsp` inesperados em `/opt/zimbra/jetty/webapps/` > [!latam] Relevância para Brasil e LATAM > O Zimbra é amplamente utilizado por prefeituras, universidades federais e estaduais, e empresas de médio porte no Brasil como alternativa de custo ao Exchange. A exploração desta cadeia de vulnerabilidades por atores de espionagem representa risco direto para organizações governamentais e acadêmicas brasileiras que não mantêm o Zimbra atualizado. ## Referências - [Zimbra Security Advisory ZSB-22-008](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [NVD - CVE-2022-27925](https://nvd.nist.gov/vuln/detail/CVE-2022-27925) - [CISA Alert AA22-228A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-228a)