Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Se ha descubierto una vulnerabilidad de día cero en Zimbra, plataforma de correo electrónico de código abierto, que comienza con una serie de correos electrónicos de phishing dirigidos (spear phishing) e incluyen la explotación de la vulnerabilidad llamada Cross-Site Scripting (XSS).
Esta vulnerabilidad fue identificada por investigadores en una serie de campañas de phishing dirigido contra uno de sus clientes por parte de un actor malicioso que se identifica como TEMP_Heretic y posiblemente proviene de China. El análisis de los correos electrónicos de estas campañas de spear phishing condujo a un descubrimiento, el atacante trataba de explotar una vulnerabilidad de Cross-Site Scripting (XSS) de día cero en la plataforma de correo electrónico de Zimbra.
Los investigadores afirman que la explotación exitosa de esta vulnerabilidad permitiría a un atacante ejecutar JavaScript arbitrario en sesión activa de Zimbra del usuario. Ellos también observaron que los atacantes intentaban cargar JavaScript para robar datos y archivos adjuntos del correo de los usuarios afectados.
Recursos afectados
Zimbra 8.8.15 P29
Zimbra 8.8.15 P30
Solución
Se debe actualizar ZImbra a la versión 9.0.0.
También se puede actualizar a la versión 8.8.15.1643980846 P30 que ya cuenta con un parche de seguridad.
Para verificar si ya tiene la versión parchada debe ingresar a:
zimbra-patch -> 8.8.15.1643980846.p30-1
Indicadores de compromiso
El administrador del servidor Zimbra debe analizar los datos de referencia históricas en busca de referencias y accesos sospechosos. La ubicación predeterminada de estos registros se puede encontrar en:
/opt/zimbra/log/access*.log
Recomendaciones
Se recomienda actualizar a la versión 9.0.0. Adicionalmente recomendamos no abrir ningún correo/enlace desconocido y aguardar a que Zimbra publique de manera oficial las contramedidas para esta vulnerabilidad.
Referencias
Vulnerabilidad de día cero de Zimbra permite robar correos electrónicos