Zero-day en Zimbra permite sustraer cookies de sesión

04 Febrero 2022
Alto

Investigadores han identificado una vulnerabilidad Zero-day en el software de mensajería Zimbra que ha sido activamente explotada desde diciembre, y se encuentra centrada principalmente en objetivos gubernamentales, presumiblemente ejecutada por APT de origen chino.

Al igual que la mayoría del tipo de ataque Zero-day, pese a que se haya detectado una explotación desde diciembre, esta vulnerabilidad podría perfectamente haber sido explotada desde antes.

 

¿Qué es Zimbra?

Corresponde tanto a un cliente como a un servidor de mensajería de correos electrónicos escrito en Java, creado en 2003, cuenta con un producto Open Source abierto a la comunidad como con una versión de pago que presenta mejoras al software base. Actualmente VMWare es el propietario de este software.

Método de ataque

A raíz de los ataques visualizados para este servicio se ha identificado que presenta dos etapas de acción detalladas a continuación:

  1. Desde una cuenta de correo cualquiera, se envía un correo legítimo al usuario a vulnerar, que permite el reconocimiento de cuentas activas y a su vez probar si el o los usuarios abren o interactúan con correos de orígenes desconocidos.
  2. Una segunda parte del ataque consiste en enviar un segundo correo electrónico en el que se incluye un enlace malicioso, que, tras acceder, de forma automatizada se conecta con un servidor malicioso y explota la vulnerabilidad mediante XSS ejecutando Javascript arbitrario que permite extraer cookies de sesión válidas.

De esta forma se obtiene acceso a correos electrónicos de forma persistente y permite la propagación de malware mediante difusión de phishing a contactos de la cuenta afectada.

Esta actividad ha sido evidenciada principalmente utilizando el envío de correos señuelos que contienen invitaciones, devolución de tickets aéreos, alertas de seguridad o simplemente sin asunto.

 

Vinculación con China

Dentro del análisis realizado por investigadores se ha observado que los correos se encuentran originados con cabeceras que incluyen hora asiática de Hong Kong, por lo que es probable pero no seguro que estos ataques hayan sido realizados por APT de origen chino, los cuales desde diciembre a la fecha permanecen con constante actividad en Europa ya alertada por el gobierno alemán.

 

Debido a que este software tiene una licencia Open Source, es ampliamente utilizado por un gran número de organizaciones alrededor del mundo, incluidas organizaciones gubernamentales y que si bien es respaldada por VMWare no suele ser de las Suites de correo electrónico más populares por lo que no es objetivo de constantes ataques, sin embargo, esta característica no le quita el peso y criticidad a la información allí contenida. 

Por otra parte, la característica Open Source, permite que posibles atacantes puedan realizar un estudio en profundidad del software antes de comprometerlo en favor de sus operaciones.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Tags: #Zimbra #Zero-day #APT #China #WebMail
  • Productos Afectados
  • Producto Versión
    Zimbra 8.8.15 P29
    8.8.15 P30


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.