La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó la falla Zimbra CVE-2022-27824 a su ‘Catálogo de Vulnerabilidades Explotadas Conocidas’, lo que indica que los piratas informáticos la explotan activamente en ataques.
Esta vulnerabilidad de alta gravedad permite que un atacante no autenticado robe las credenciales de la cuenta de correo electrónico en forma de texto no cifrado de las instancias de Zimbra Collaboration sin la interacción del usuario.
En resumen, un pirata informático puede realizar el envenenamiento de Memcache a través de la inyección CRLF y engañar al software para que reenvíe todo el tráfico IMAP al atacante cuando los usuarios legítimos intentan iniciar sesión.
Los investigadores de SonarSource descubrieron la falla el 11 de marzo de 2022 y el proveedor de software lanzó una solución que solucionó los problemas el 10 de mayo de 2022, con las versiones ZCS 9.0.0 Patch 24.1 y ZCS 8.8.15 Patch 31.1.
El informe técnico que acompañó a la divulgación de SonarSource fue bastante completo y, dado que se publicó más de un mes después de que las correcciones estuvieran disponibles, brinda a los piratas informáticos muchos consejos sobre cómo explotar la falla.
Sin embargo, como resulta evidente de la última incorporación al catálogo de CISA, no todos los administradores han aplicado las actualizaciones de seguridad que han estado disponibles durante casi tres meses.
Dada esta oportunidad, los piratas ahora intentan localizar y atacar instancias vulnerables. Arrebatar las credenciales de la cuenta de Zimbra les permite acceder al servidor de correo electrónico, lo que abre el camino a los ataques de phishing selectivo, ingeniería social y BEC.
Según el proveedor de software, Zimbra Collaboration es utilizado por más de 200 000 empresas y 1000 entidades estatales y organizaciones críticas en 140 países.
La incorporación por parte de CISA de CVE-2022-27824 al catálogo de fallas explotadas activamente introduce la obligación de que todas las agencias federales en los EE. UU. apliquen las actualizaciones de seguridad disponibles hasta el 25 de agosto de 2022, que es la fecha límite establecida para este caso.
Por supuesto, las agencias y organizaciones no federales que usan Zimbra Collaboration y aún no han actualizado sus productos deberían hacerlo de inmediato, ya que los ataques de piratas informáticos dirigidos a instancias vulnerables ya están en marcha.
