Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los piratas informáticos comprometen casi 900 servidores aprovechando un fallo de seguridad en Zimbra
26 de octubre de 2022 - Equipo de Relaciones Públicas de TuxCare
Los piratas informáticos están explotando una vulnerabilidad rastreada como CVE-2022-41352 en Zimbra Collaboration Suite (ZCS). Las amenazas ya han conseguido piratear casi 900 servidores.
La prueba de concepto (PoC) de la vulnerabilidad se ha añadido a Metasploit Framework, lo que permite a los atacantes no profesionales explotar la vulnerabilidad.
Los investigadores de Kaspersky explicaron que una APT desconocida que explotó la vulnerabilidad crítica probablemente había compilado un exploit de trabajo basado en la información disponible públicamente publicada en los foros de Simbra.
La vulnerabilidad de Zimbra es un fallo de ejecución remota de código que permite a un atacante enviar un correo electrónico con un archivo adjunto malicioso que coloca un intérprete de comandos web en el servidor de Zimbra Collaboration Suite, además de eludir el antivirus en el proceso.
Los investigadores de Kaspersky identificaron al menos 876 servidores que habían sido comprometidos por atacantes que explotaban la vulnerabilidad antes de que se hiciera pública. Después de que se diera a conocer, varios grupos de amenazas también intentaron explotar el fallo.
Desde que se informó de ella, el índice de explotación ha aumentado. Aunque Zimbra ha solucionado un problema de seguridad con la versión 9.0.0 P27 de ZCS, los atacantes siguen lanzando ataques oportunistas para explotar la vulnerabilidad.
Según Kaspersky, los primeros ataques que explotaron servidores Zimbra vulnerables comenzaron en septiembre en India y Turquía. Los investigadores creen que la primera oleada de ataques fue probablemente una oleada de prueba contra objetivos de bajo interés para comprobar su eficacia.
Los atacantes comprometieron 44 servidores durante la primera oleada, y para la segunda, después de que el fallo se hiciera público, los actores de la amenaza cambiaron de marcha y comenzaron ataques masivos, lo que resultó en 832 servidores comprometidos con webshells maliciosas.
La firma de seguridad Volexity dijo que alrededor de 1600 servidores ZCS fueron comprometidos por actores de amenazas después de explotar CVE-2022-41352 para plantar webshells.
Se aconseja a los administradores de ZCS que aún no hayan aplicado las actualizaciones de seguridad o las soluciones disponibles para Zimbra que lo hagan inmediatamente, ya que las amenazas ya están explotando activamente los fallos.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
