# CVE-2022-37042 > [!critical] Bypass de Autenticação RCE no Zimbra - CVSS 9.8 > Vulnerabilidade crítica no Zimbra Collaboration Suite permite bypass de autenticação e execução remota de código através do componente MailboxImportServlet. Afeta os mesmos ambientes Zimbra que CVE-2022-27925, ampliando o risco acumulado para servidores de email Zimbra desatualizados. ## Visão Geral A [[cve-2022-37042|CVE-2022-37042]] é uma vulnerabilidade crítica de **bypass de autenticação com potencial RCE** no [[zimbra-collaboration-suite|Zimbra Collaboration Suite]], corrigida em agosto de 2022. A falha no componente `MailboxImportServlet` permite que atacantes remotos não autenticados contornem mecanismos de autenticação e potencialmente executem código arbitrário no servidor. Esta CVE é técnicamente relacionada à [[cve-2022-27925|CVE-2022-27925]] (path traversal no mboximport), pois ambas afetam a funcionalidade de importação de dados do Zimbra. Enquanto a CVE-2022-27925 requeria autenticação admin, esta CVE elimina esse requisito, tornando o ataque mais direto. A recorrência de vulnerabilidades críticas no Zimbra em 2022 (CVE-2022-27925, CVE-2022-27926, CVE-2022-37042, CVE-2022-45912) foi explicitamente mencionada pela CISA em alertas anuais sobre produtos mais explorados, consolidando o Zimbra como alvo de alta prioridade para grupos APT e atores de ransomware. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Authentication Bypass + RCE | | Componente | `MailboxImportServlet` | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Versões predecessoras afetadas | CVE-2022-27925 (mesma família) | ### Contexto na Família Zimbra 2022 | CVE | Tipo | Autenticação necessária | |-----|------|------------------------| | CVE-2022-27926 | XSS refletido | Não (usuário) | | CVE-2022-27925 | Path traversal RCE | Sim (admin) | | CVE-2022-37042 | Auth bypass + RCE | Não (unauthenticated) | | CVE-2022-45912 | SSRF RCE | Não | A CVE-2022-37042 essencialmente remove a barreira de autenticação que existia na CVE-2022-27925, tornando o impacto desta família de vulnerabilidades ainda mais crítico. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do MailboxImportServlet | | [[t1505-003-web-shell\|T1505.003]] | Upload de web shell sem autenticação | | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails pós-acesso | | [[t1560-001-archive-collected-data\|T1560.001]] | Exfiltração de dados corporativos | ## Detecção e Defesa **Mitigações:** - Atualizar Zimbra para 8.8.15p33 ou 9.0.0p26+ - [[m1051-update-software\|M1051]] - Patch urgente para toda a suíte Zimbra 2022 - Monitorar requisições ao endpoint `/service/mailbox` por IPs não autorizados - Verificar presença de arquivos JSP não autorizados em diretórios web do Zimbra > [!latam] Relevância para Brasil e LATAM > Organizações brasileiras com Zimbra desatualizado enfrentam múltiplos vetores de ataque simultâneos desta família de CVEs 2022. O acúmulo de vulnerabilidades críticas em um único produto de email muito utilizado no setor público e educacional brasileiro cria risco sistêmico. Organizações que não aplicaram os patches de 2022 do Zimbra estão potencialmente expostas a comprometimento ativo por APTs e grupos de espionagem. ## Referências - [NVD - CVE-2022-37042](https://nvd.nist.gov/vuln/detail/CVE-2022-37042) - [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [CISA Top Routinely Exploited Vulnerabilities 2022](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-279a)