Zimbra es un servicio de correo electrónico creado por Zimbra Inc, la cual posee el componente de servidor como su respectivo cliente. Existen varias versiones de Zimbra disponibles: unas versiones de código abierto soportadas por la comunidad, y otras con parte del código cerrado y soportadas comercialmente que contiene algunas mejoras.
Investigadores de la empresa de ciberseguridad Volexity descubrieron una campaña de phishing de espionaje cibernético, rastreada como EmailThief, que ha estado activa al menos desde diciembre de 2021.
La vulnerabilidad zero-day permite a los atacantes realizar una serie de acciones maliciosas. Estos incluyen filtrar cookies para permitir el acceso persistente a un buzón de correo, enviar mensajes de phishing a los contactos del usuario y mostrar avisos para descargar malware de sitios web confiables.
Para explotar la vulnerabilidad, los atacantes tienen que engañar al objetivo para que haga clic en el enlace especialmente diseñado por el atacante mientras está conectado al cliente de correo web de Zimbra desde un navegador web.
La explotación del problema XSS de día cero podría permitir a los atacantes filtrar cookies para permitir el acceso persistente a un buzón, enviar más mensajes de phishing a los contactos de un usuario y entregar malware.
Dichos ataques constan de dos etapas:
° Primera etapa: Los atacantes envían correos electrónicos para verificar si la víctima recibe y realizan vigilancia para verificar si la víctima abre los mensajes.
° Segunda etapa: Se envía una gran cantidad de correos electrónicos, en los que se engaña e incita a los destinatarios para que hagan clic en un enlace externo (enlace malicioso).
Se recomienda seguir los siguientes pasos para bloquear los ataques que explotan este día cero:
° A nivel de puerta de enlace de correo y red, todos los IoC (indicados por Volexity) deben estar bloqueados.
° Para accesos y referencias sospechosas, los usuarios de Zimbra deben analizar los datos históricos de las referencias.
° Se recomienda a los usuarios de Zimbra que actualicen la plataforma a la versión 9.0.0, ya que la versión 8.8.15 es vulnerable.
Aún no existe un parche oficial o una solución alternativa para esta vulnerabilidad, ni se le ha asignado un CVE correspondiente, se espera que pronto haya un parche disponible en una publicación oficial de Zimbra.
Para mayor información:
- https://www.bleepingcomputer.com/news/security/zimbra-zero-day-vulnerability-actively-exploited-to-steal-emails/
- https://www.itsecurityguru.org/2022/02/04/zimbra-zero-day-vulnerability-exploited-to-steal-emails/?utm_source=rss
- https://thehackernews.com/2022/02/hackers-exploited-0-day-vulnerability.html
- https://securityaffairs.co/wordpress/127621/apt/zimbra-zero-day-actively-axploited.html
- https://cybersecuritynews.com/zimbra-zero-day-xss-vulnerability/
- https://news-primer.com/zimbra-zero-day-vulnerability-actively-exploited-to-steal-emails/
- https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/