# CVE-2022-45912 > [!critical] RCE por SSRF no Zimbra Collaboration Suite - CVSS 9.8 > Server-Side Request Forgery no Zimbra permite execução remota de código sem autenticação através do componente ProxyServlet. Parte do padrão recorrente de vulnerabilidades críticas no Zimbra que o tornam alvo frequente de campanhas de espionagem. ## Visão Geral A [[cve-2022-45912|CVE-2022-45912]] é uma vulnerabilidade crítica de **Server-Side Request Forgery (SSRF)** no [[zimbra-collaboration-suite|Zimbra Collaboration Suite]], descoberta em novembro de 2022. A falha reside no componente ProxyServlet do Zimbra e permite que um atacante remoto não autenticado force o servidor a fazer requisições para recursos internos da rede, potencialmente resultando em execução remota de código. Esta é mais uma vulnerabilidade em uma longa série de falhas críticas no Zimbra - servidor de email amplamente utilizado como alternativa ao Microsoft Exchange em organizações governamentais, acadêmicas e corporativas na América Latina. A CISA, NSA e parceiros internacionais emitiram alertas conjuntos destacando o Zimbra como um dos produtos mais explorados por atores APT nação-estado. Para organizações brasileiras que utilizam Zimbra, este CVE representa um risco significativo, especialmente considerando que muitas não mantêm ciclos regulares de patching para sistemas de email, que são percebidos como infraestrutura estável. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | SSRF - potencial RCE | | Componente | ProxyServlet do Zimbra | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Impacto | Acesso a serviços internos, potencial RCE | ### Attack Flow Típica ``` SSRF via ProxyServlet → Acesso ao Admin Endpoint interno → Execução de comando via API administrativa → RCE como usuário Zimbra ``` O ProxyServlet do Zimbra processa parâmetros de URL sem válidação adequada do destino, permitindo redirecionamento para `localhost` ou outros serviços na rede interna, incluindo endpoints administrativos normalmente protegidos por firewall. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Zimbra exposto | | [[t1602-002-network-device-configuration-dump\|T1602]] | SSRF para acesso a serviços internos | | [[t1505-003-web-shell\|T1505.003]] | Web shell Zimbra pós-RCE | | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails corporativos | ## Detecção e Defesa **Mitigações:** - Atualizar Zimbra para versões com patch 37 (8.8.15) ou patch 30 (9.0.0) - [[m1051-update-software\|M1051]] - Atualização urgente do servidor Zimbra - [[m1031-network-intrusion-prevention\|M1031]] - WAF para filtrar requisições SSRF - Monitorar logs do Zimbra para requisições a `localhost` ou redes internas > [!latam] Relevância para Brasil e LATAM > O Zimbra é amplamente utilizado em prefeituras, tribunais de justiça, universidades federais e empresas de médio porte no Brasil. A combinação desta CVE com outras vulnerabilidades Zimbra (CVE-2022-27925, CVE-2022-27926) cria múltiplos vetores de comprometimento silencioso. Grupos de espionagem APT têm histórico documentado de priorizar servidores Zimbra de organizações governamentais latino-americanas. ## Referências - [NVD - CVE-2022-45912](https://nvd.nist.gov/vuln/detail/CVE-2022-45912) - [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [CISA Alert - Top Exploited Vulnerabilities 2022](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-279a)