Esta vulnerabilidad en Zimbra está siendo explotada activamente por los hackers
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó la vulnerabilidad Zimbra CVE-2022-27924 a su “Catálogo de Vulnerabilidades Explotadas Conocidas”. En otras palabras, los hackers la están explotando activamente en ataques.
Esta vulnerabilidad de alta gravedad permite que un atacante no autenticado robe las credenciales de la cuenta de correo electrónico en forma de texto plano de las instancias de Zimbra Collaboration Suite (ZCS) sin la interacción del usuario.
En resumen, un hacker puede realizar el envenenamiento de Memcache a través de la inyección CRLF. Posteriormente, puede engañar al software para que reenvíe todo el tráfico IMAP al atacante cuando los usuarios legítimos intentan iniciar sesión.
Los investigadores de SonarSource descubrieron la vulnerabilidad el 11 de marzo de 2022. Por ello, el 10 de mayo de 2022 el proveedor de software lanzó una solución que corrige los problemas. Específicamente, lanzó parches para las versiones ZCS 9.0.0 y ZCS 8.8.15.
El informe técnico que acompañó a la divulgación de SonarSource fue bastante completo. Y, dado que se publicó más de un mes después de que las correcciones estuvieran disponibles, brinda a los hackers muchos consejos sobre cómo explotar la vulnerabilidad.
Instancias vulnerables
Sin embargo, como resulta evidente de la última incorporación al catálogo de CISA, no todos los administradores han aplicado las actualizaciones de seguridad que han estado disponibles durante casi tres meses.
Dada esta oportunidad, los hackers ahora intentan localizar y atacar instancias vulnerables. Robar las credenciales de la cuenta de Zimbra les permite acceder al servidor de correo electrónico, lo que abre el camino a los ataques de phishing selectivo, ingeniería social y BEC (compromiso de correo electrónico empresarial).
Según el proveedor de software, Zimbra Collaboration es utilizado por más de 200,000 empresas. Asimismo, es utilizado por 1000 entidades estatales y organizaciones críticas en 140 países, incluido Estados Unidos.
La adición de CVE-2022-27924 al catálogo de vulnerabilidades activamente explotadas por parte de CISA introduce la obligación de que todas las agencias federales en los Estados Unidos apliquen las actualizaciones de seguridad disponibles hasta el 25 de agosto de 2022, que es la fecha límite establecida para este caso.
Por supuesto, las agencias y organizaciones no federales que usan Zimbra Collaboration y aún no han actualizado sus productos deberían hacerlo de inmediato. Esto porque los ataques de hackers dirigidos a instancias vulnerables ya están en marcha.