Vulnerabilidad de Zimbra permite robar credenciales de inicio de sesión sin interacción del usuario
Recientemente han surgido detalles técnicos sobre una vulnerabilidad de alta gravedad que afecta a ciertas versiones de la solución de correo electrónico Zimbra. La vulnerabilidad permite a los atacantes robar inicios de sesión sin autenticación o interacción del usuario.
El acceso a los buzones de correo de las víctimas abre el camino a los atacantes para escalar potencialmente su infracción a organizaciones objetivo y obtener acceso a varios servicios internos y robar información altamente confidencial. Con el acceso al correo, los atacantes pueden restablecer contraseñas, hacerse pasar por sus víctimas y leer en silencio todas las conversaciones privadas dentro de la empresa objetivo.
Zimbra es una solución de correo electrónico de nivel empresarial, similar a Microsoft Exchange. La plataforma provee servidores de correo, funciones de balanceo de carga, una potente interfaz web y más.
Según el sitio web de la plataforma, más de 200,000 empresas, universidades e instituciones financieras y gubernamentales lo utilizan en todo el mundo. Los usuarios inician sesión en su cuenta de correo de Zimbra para leer y enviar correos electrónicos privados.
El problema de seguridad se ha identificado actualmente como CVE-2022-27924 e impacta las versiones 8.8.x y 9.x de Zimbra para las versiones comerciales y de código abierto de la plataforma.
Como detallamos más adelante en esta publicación, existen dos estrategias que los atacantes podrían usar para aprovechar esta vulnerabilidad.
La plataforma ha publicado una corrección en las versiones de Zimbra ZCS 9.0.0 parche 24.1 y ZCS 8.8.15 parche 31.1. Estas correcciones están disponibles desde el 10 de mayo de 2022.