Dos semanas después de la revelación inicial, Zimbra ha desplegado parches de seguridad para hacer frente a una vulnerabilidad Zero Day que está siendo explotada en ataques dirigidos a servidores de correo electrónico Zimbra Collaboration Suite (ZCS).
La vulnerabilidad, ahora identificada como CVE-2023-38750, es un Cross-Site Scripting (XSS) reflejado que fue encontrado por Clément Lecigne del Grupo de Análisis de Amenazas de Google. Los ataques XSS son una amenaza importante, ya que permiten a los actores maliciosos robar datos confidenciales o ejecutar código dañino en sistemas susceptibles. En este caso, el CVE podría permitir a un actor remoto autenticado ejecutar código arbitrario a través de un script creado para la función /h/autoSaveDraft afectando a la versión ZCS v.8.8.15.
Aunque Zimbra no reveló inicialmente que se estaba explotando el día cero cuando anunció por primera vez la vulnerabilidad y animó a los usuarios a solucionarla manualmente, Maddie Stone, de Google TAG, reveló que la vulnerabilidad se encontró mientras se explotaba en un ataque dirigido. Zimbra había aconsejado a los administradores que mitigaran manualmente el fallo de seguridad.
Dos semanas después de la publicación del aviso inicial, Zimbra lanzó ZCS 10.0.2, una versión que también aborda el fallo CVE-2023-38750, que potencialmente podría exponer archivos JSP y XML internos. Otro fallo XSS reflejado en Zimbra fue explotado desde febrero de 2023 por el grupo de hacking ruso Winter Vivern para infiltrarse en portales de correo web de gobiernos alineados con la OTAN y robar los correos electrónicos de funcionarios gubernamentales, personal militar y diplomáticos.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha emitido una advertencia a las agencias federales estadounidenses para que aseguren sus sistemas contra ataques que exploten CVE-2023-38750. La agencia ha añadido esta vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas, que requiere que las Agencias Federales del Poder Ejecutivo Civil (FCEB) parcheen los servidores de correo electrónico ZCS vulnerables en sus redes en línea con la directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021. CISA ha fijado el 17 de agosto como fecha límite para el cumplimiento, ordenándoles que mitiguen el fallo en todos los dispositivos no parcheados.
Aunque el catálogo se dirige principalmente a las agencias federales estadounidenses, también se recomienda encarecidamente a las empresas privadas que prioricen e implementen parches para todas las vulnerabilidades enumeradas en el catálogo de fallos explotados de CISA. CISA advirtió hoy: «Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y plantean riesgos significativos para la empresa federal».
Zimbra es un objetivo popular
Clément Lecigne, del Grupo de Análisis de Amenazas de Google, descubrió y notificó esta vulnerabilidad.
Las vulnerabilidades en ZCS son a menudo explotadas por los atacantes, ya que Zimbra es ampliamente utilizado por una gran variedad de organizaciones, incluyendo agencias gubernamentales, universidades, empresas, etc. La Comisión de la Unión Europea incluso ha ofrecido recompensas por fallos encontrados en Zimbra (y otras soluciones de software de código abierto que utiliza).
A finales de 2021, una vulnerabilidad de día cero de Zimbra (CVE-2022-24682) fue explotada por hackers chinos para atacar a gobiernos europeos. En agosto de 2022, la entidad CISA publicó un aviso sobre varias vulnerabilidades en Zimbra Collaboration Suite, la mayoría críticas. Más tarde ese mismo año, se descubrió una vulnerabilidad crítica de ejecución remota de código (CVE-2022-41352) que estaba siendo explotada activamente por grupos APT. En abril de 2023, piratas informáticos rusos aprovecharon un fallo de XSS (CVE-2022-27926) para atacar a países de la OTAN.
Importancia de las actualizaciones
Es importante tener en cuenta que no todas las actualizaciones de Zimbra son obligatorias. Sin embargo, es importante mantenerse al día con las actualizaciones importantes, que suelen ser las que incluyen correcciones de seguridad. También es importante mantenerse al día con las actualizaciones menores, que suelen incluir nuevas funciones o mejoras de rendimiento.
Puede mantenerse al día con las actualizaciones de Zimbra de varias maneras. El servicio puede configurarse para que se actualice automáticamente, o puede ser actualizado manualmente. Es importante mantener actualizado Zimbra para asegurarse de que se esté ejecutando de la manera más eficiente y segura posible. Al mantenerse al día con las actualizaciones, puede ayudar a proteger su organización contra ataques cibernéticos, mejorar la funcionalidad de Zimbra y mejorar su rendimiento.
Se recomienda:
- Configurar Zimbra para que se actualice automáticamente.
- Mantenerse al día con las notificaciones de actualización de Zimbra.
- Instalar las actualizaciones de Zimbra lo antes posible.
- Realizar copias de seguridad de su servidor Zimbra antes de instalar actualizaciones.
- Monitorear su servidor Zimbra después de instalar actualizaciones.
Al seguir estos consejos, puede ayudar a garantizar que Zimbra esté actualizado y funcionando de la manera más eficiente y segura posible.
Referencia:
https://www.securityweek.com/zimbra-patches-exploited-zero-day-vulnerability/
