Vulnerabilidades en Zimbra podrían permitir el secuestro de correos electrónicos
Investigadores revelaron que el servidor de correo web de Zimbra tiene dos fallas. Estas vulnerabilidades podrían permitir que un atacante revise la bandeja de entrada y salida de todos los empleados en todas las empresas que utilizan la herramienta de colaboración inmensamente popular.
En un martes de valoración crítica, SonarSource llamó una situación “drástica”, dada la popularidad de Zimbra y la naturaleza altamente sensible de los montones de mensajes que administra. Según el sitio de Zimbra, sus herramientas de colaboración y correo electrónico son utilizadas por más de 200,000 empresas. Además, es utilizada por más de mil instituciones gubernamentales y financieras y cientos de millones de usuarios para intercambiar correos electrónicos todos los días.
Cuando los atacantes obtienen acceso a la cuenta de correo electrónico de un empleado, a menudo tiene implicaciones de seguridad drásticas, según el informe. “Además de la información y los documentos confidenciales que se intercambian, una cuenta de correo electrónico a menudo está vinculada a otras cuentas confidenciales. Generalmente, estas cuentas permiten restablecer la contraseña. Piénsalo, ¿qué podría hacer un atacante que tiene acceso a tus correos electrónicos?
Correo electrónico malicioso podría enviar un payload codificado en JavaScript
La primera vulnerabilidad fue descubierta por Simon Scannell, un investigador de vulnerabilidades de SonarSource. Esta vulnerabilidad podría desencadenarse simplemente abriendo un correo electrónico malicioso que contenga un payload de JavaScript. Si una víctima abriera un correo electrónico manipulado, desencadenaría un error de secuencia de comandos entre sitios (XSS) (CVE-2021-35208) en su navegador. Cuando se ejecuta, ese payload proporcionaría al atacante acceso a los correos electrónicos de la víctima, así como a su sesión de correo web.
Además, sería la zona cero para otros ataques: “Con esto, se podría acceder a otras funciones de Zimbra y se podrían lanzar más ataques”.
La segunda vulnerabilidad es una evasión de una lista blanca que conduce a una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) (CVE-2021-35209. Esta puede ser explotada por una cuenta autenticada que pertenece a un miembro de una organización objetivo que tiene cualquier rol de permiso.
Las dos vulnerabilidades, si se combinan, le darían a un atacante remoto el poder de extraer valiosos beneficios. Esto incluye los tokens de API de Google Cloud o las credenciales de AWS IAM de instancias dentro de la infraestructura de la nube.
La mala configuración que costó $80 millones
Esto puede ser alarmante: los investigadores señalaron una infracción de Capital One en 2019 que involucró un error de SSRF similar. Gracias a una configuración incorrecta de la nube, el atacante, en particular, un ex ingeniero de AWS, se salió con la suya. Él pudo obtener los datos personales de más de 100 millones de personas.
El FBI lo atrapó, pero ese fue una costosa vulnerabilidad SSRF: Capital One tuvo que desembolsar más de $80 millones. Desembolsó ese monto parar resolver las afirmaciones de los reguladores bancarios federales de que carecía de los protocolos de ciberseguridad adecuados.
SonarSource lo expresó suavemente: “Las vulnerabilidades SSRF se han convertido en una clase de vulnerabilidad cada vez más peligrosa, especialmente para las aplicaciones nativas de la nube”. La firma de seguridad dijo que no sabe si Zimbra Cloud, una solución SaaS que usa AWS, se vio afectada por la vulnerabilidad.
Scannell le dijo a PortSwigger que la vulnerabilidad SSRF permite que un atacante envíe solicitudes HTTP a hosts o puertos arbitrarios. Combinado con el contrabando de protocolo, esto podría conducir a RCE, dijo.
También podría permitir a un atacante robar metadatos altamente confidenciales. Por ejemplo, tokens de acceso a la cuenta que está asociada con la instancia que habría sido explotada.
Específicamente, como mencioné anteriormente, un atacante podría obtener tokens de acceso, incluidos los tokens de la API de Google Cloud o las credenciales de AWS IAM de las instancias de la nube.
Solución de las vulnerabilidades
El equipo de Zimbra ha solucionado ambas vulnerabilidades, con el parche 18 para la serie 8.8.15 y el parche 16 para la serie 9.0. SonarSource dice que las versiones anteriores de ambas versiones son, sin embargo, aún vulnerables. Nos comunicamos con Zimbra para averiguar cuál es el plan para parchear versiones anteriores y actualizar el artículo con dicha información.
Las vulnerabilidades se reportaron a Zimbra el 20 y 22 de mayo; los parches fueron lanzados el 28 de junio para las series 8.8.15 y 9.0.
Scannell dijo que las vulnerabilidades, ambas calificadas como de gravedad media, podrían haber tenido efectos graves. Ambas vulnerabilidades funcionan con la configuración predeterminada y afectan el núcleo de Zimbra. Estas hubiesen tenido un gran impacto potencial para esas 200,000 empresas que utilizan Zimbra.
Ataques explotando las vulnerabilidades de Zimbra
Es una apuesta segura que los atacantes intentarán explotar las vulnerabilidades, dada la numerosa cantidad de usuarios de Zimbra.
En abril, una vulnerabilidad de Zimbra, CVE-2019-9670, en Synacor Zimbra Collaboration Suite (XXE), provocó un ataque a gran escala. Fue una de las cinco vulnerabilidades bajo el ataque de hacker estatales rusos que provocó una advertencia de la Agencia de Seguridad Nacional (NSA) sobre una campaña que se dedicó a robar credenciales y más.
Zimbra debe ser un objetivo favorito del grupo de amenazas APT29 vinculado a Rusia. Antes de la campaña de abril, en julio de 2020, la banda cibernética puso su mirada en la investigación farmacéutica en las naciones occidentales en un probable intento de robar la investigación de una vacuna contra el COVID-19. El ataque incluyó el uso de exploits para vulnerabilidades conocidas, incluida una en Zimbra (CVE-2019-9670).