ClickCease Desvelado un exploit de día cero en Zimbra

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Desvelado un exploit de día cero en Zimbra

Wajahat Raja

1 de diciembre de 2023 - Equipo de expertos TuxCare

Las ciberamenazas en los sistemas de correo electrónico de las empresas se han vuelto extremadamente comunes en este mundo digital. Recientemente, una vulnerabilidad crítica de día cero en el ampliamente utilizado software de correo electrónico Zimbra Collaboration ha sido explotada por múltiples actores de amenazas, lo que plantea riesgos significativos para los datos de correo electrónico, credenciales de usuario y tokens de autenticación. Este fallo, identificado como CVE-2023-37580 con una puntuación CVSS de 6,1, es una vulnerabilidad reflejada de secuencias de comandos en sitios cruzados (XSS) que afecta a versiones anteriores a la 8.8.15 Parche 41. A pesar de la rápida respuesta de Zimbra con los parches publicados el 25 de julio de 2023, los ataques en el mundo real continuaron desarrollándose. Este blog detalla el exploit de día cero de Zimbra así como las medidas adoptadas para solucionar el problema.


Dinámica de explotación


Según las conclusiones del Grupo de Análisis de Amenazas de Google (TAG), cuatro grupos distintos aprovecharon esta vulnerabilidad en ataques en directo. Sorprendentemente, la mayoría de estos ataques se produjeron después de que Zimbra hubiera solucionado el problema y publicado la corrección en GitHub. Esto pone de manifiesto la urgencia de que las organizaciones apliquen con prontitud
actualizaciones de seguridad de Zimbra.


Visión general de la vulnerabilidad de día cero de Zimbra


El
CVE-2023-37580 permitía a los atacantes ejecutar scripts maliciosos en los navegadores web de las víctimas engañándolas para que hicieran clic en una URL especialmente diseñada. Esto, a su vez, iniciaba una petición de cross-site scripting a Zimbra, reflejando el ataque de vuelta al usuario. La simplicidad de este método subraya la necesidad crítica de vigilar las vulnerabilidades de seguridad del correo electrónico. vulnerabilidades de seguridad del correo electrónico.


Calendario y objetivos de la campaña


El informe del TAG destacaba múltiples oleadas de campañas que comenzarían el
29 de junio de 2023dos semanas antes del aviso de Zimbra. De las cuatro amenazas de ciberseguridad en Zimbratres campañas se produjeron antes de la publicación del parche, y la cuarta surgió un mes después de que se hicieran públicas las correcciones.

  1. Medidas gubernamentales en Grecia

    La primera campaña, una
    vulnerabilidad del sistema de correo electrónicodirigida específicamente a una organización gubernamental en Grecia. Las URL de explotación se entregaban a través de correos electrónicos, activando un malware de robo de correo electrónico al hacer clic. Esta operación, identificada como TEMP_HERETIC por Volexity, utilizaba un fallo de día cero de Zimbra junto con otras tácticas.
  2. Actividad de Winter Vivern

    El segundo actor, conocido como Winter Vivern, se centró en organizaciones gubernamentales de Moldavia y Túnez poco después de que el parche de la vulnerabilidad estuviera disponible en GitHub. Winter Vivern ya había sido
    asociado con la explotación de vulnerabilidades de Roundcube y Zimbra Collaboration, lo que amplifica la gravedad de sus actividades.
  3. Phishing en Vietnam

    TAG detectó un tercer grupo no identificado que aprovechaba la vulnerabilidad antes de la publicación del parche. Este grupo pretendía suplantar credenciales de una organización gubernamental de Vietnam, utilizando una URL de explotación que dirigía a los usuarios a una página de suplantación de identidad. A continuación, las credenciales robadas se publicaban en un dominio gubernamental oficial comprometido.
  4. Pakistán en el punto de mira

    La cuarta campaña tuvo como objetivo una organización gubernamental de Pakistán el 25 de agosto, y tuvo como resultado la exfiltración de tokens de autenticación de Zimbra a un dominio remoto llamado "ntcpk[.]org". Esto subraya el alcance global y el impacto de tales exploits y destaca la importancia de mejorar las medidas de ciberseguridad que ayudan a mitigar cualquier
    riesgos de seguridad del software de correo electrónico.


La urgencia de soluciones oportunas


Los descubrimientos de TAG subrayan la importancia crítica de que las organizaciones apliquen rápidamente correcciones a sus servidores de correo para
protección contra fallos de día cero. El hecho de que tres de las cuatro campañas se produjeran después de que la vulnerabilidad se hiciera pública subraya la necesidad de actuar con rapidez. El informe también arroja luz sobre una tendencia preocupante en la que las amenazas vigilan activamente los repositorios de código abierto para explotar las vulnerabilidades de forma oportunista.


Medidas de seguridad del correo electrónico de Zimbra y preparación para el futuro


Google recomienda realizar una auditoría exhaustiva de los servidores de correo, centrándose especialmente en las vulnerabilidades XSS, dado el patrón recurrente de explotación en este sentido. El panorama cambiante de
exploits de día cero en el software de correo electrónicos requiere que las organizaciones no sólo se mantengan alerta, sino que también evalúen y refuercen proactivamente sus medidas de seguridad para mitigar los riesgos potenciales. medidas de seguridad para mitigar los riesgos potenciales..


Conclusión

 

La reciente explotación de la vulnerabilidad del software de correo electrónico Zimbra Collaboration es un claro recordatorio de la naturaleza persistente y cambiante de las ciberamenazas. A medida que los actores de las amenazas se vuelven cada vez más sofisticados, es imperativo que las organizaciones adopten un enfoque proactivo de la ciberseguridad. Dar prioridad a medidas de ciberseguridad sólidas, como aplicación oportuna de parches y la supervisión vigilante, es primordial para que las organizaciones mitiguen eficazmente los riesgos asociados a la prevención de la explotación de día ceroy garantizar la resistencia de los sistemas de comunicación críticos frente a las vulnerabilidades emergentes.

Las fuentes de este artículo incluyen artículos en The Hacker News y Vulners.

Resumen
Desvelado un exploit de día cero en Zimbra
Nombre del artículo
Desvelado un exploit de día cero en Zimbra
Descripción
Infórmese sobre el exploit crítico de día cero de Zimbra y sus riesgos y medidas de protección asociados, y proteja sus sistemas de correo electrónico hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín