Vulnerabilidad en software de mensajería Zimbra
El equipo de Ciberseguridad de Netglobalis informa que se ha identificado una vulnerabilidad Zero-day en el software de mensajería Zimbra que ha sido activamente explotada desde diciembre, y se encuentra centrada principalmente en objetivos gubernamentales, presumiblemente ejecutada por APT de origen chino.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
AFECTACIONES
Método de ataque:
A raíz de los ataques visualizados para este servicio se ha identificado que presenta dos etapas de acción detalladas a continuación:
- Desde una cuenta de correo cualquiera, se envía un correo legítimo al usuario a vulnerar, que permite el reconocimiento de cuentas activas y a su vez probar si el o los usuarios abren o interactúan con correos de orígenes desconocidos.
- Una segunda parte del ataque consiste en enviar un segundo correo electrónico en el que se incluye un enlace malicioso, que, tras acceder, de forma automatizada se conecta con un servidor malicioso y explota la vulnerabilidad mediante XSS ejecutando Javascript arbitrario que permite extraer cookies de sesión válidas.
De esta forma se obtiene acceso a correos electrónicos de forma persistente y permite la propagación de malware mediante difusión de phishing a contactos de la cuenta afectada.
Esta actividad ha sido evidenciada principalmente utilizando el envío de correos señuelos que contienen invitaciones, devolución de tickets aéreos, alertas de seguridad o simplemente sin asunto.
Mitigación:
Se recomienda lo siguiente: Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes: https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/