Investigadores de ciberseguridad han descubierto un ataque activo dirigido a los servidores de correo electrónico Zimbra, que podría permitir a los cibercriminales tomar el control total del sistema afectado. La vulnerabilidad ha sido identificada como CVE-2024-45519 y ya está siendo explotada por actores maliciosos, lo que representa un serio riesgo para las organizaciones que utilizan esta plataforma de correos.
¿Cómo ocurre el ataque?
El equipo de ProofPoint ha detectado que los atacantes están enviando correos electrónicos maliciosos con código diseñado para explotar la falla de Zimbra. El ataque se disfraza como un correo spam común, y cuando el usuario abre el mensaje, se ejecuta automáticamente un script que intenta comprometer el servidor de Zimbra que aloja al cliente. Este proceso no requiere la interacción directa del usuario más allá de abrir el correo, lo que lo convierte en una amenaza particularmente peligrosa.
Impacto de la vulnerabilidad CVE-2024-45519
Si el ataque se ejecuta correctamente, los cibercriminales pueden obtener ejecución remota de código (RCE), lo que les otorga control total sobre el servidor. Esto significa que los atacantes pueden ejecutar comandos, modificar archivos y potencialmente robar información crítica.
Una característica clave que agrava esta vulnerabilidad es que no requiere autenticación. Según investigadores, cualquiera con acceso a la red donde está corriendo el servicio Postjournal en Zimbra puede explotar el fallo, lo que podría derivar en un ataque catastrófico para las organizaciones que no han actualizado sus servidores.
Detalles técnicos del ataque
El ataque aprovecha una falla en la manera en que el software de Zimbra maneja las solicitudes SMTP de Postjournal. Los correos maliciosos que explotan esta vulnerabilidad contienen cadenas codificadas en base64, que son ejecutadas por la utilidad sh en el servidor de destino. Los mensajes se envían a direcciones falsas en los campos CC, lo que provoca que el servidor intente procesar y ejecutar el contenido como comandos.
Exploit en circulación antes del parche
Una de las preocupaciones más graves es que los atacantes han comenzado a explotar activamente esta vulnerabilidad antes de que los proveedores de Zimbra pudieran lanzar un parche de seguridad. Ya se han registrado múltiples ataques en servidores vulnerables de Zimbra, según informes de investigadores y publicaciones en Twitter.
Recomendaciones para administradores
Para mitigar los riesgos, se recomienda a los administradores de sistemas que actualicen sus servidores Zimbra a la última versión disponible. Asimismo, es importante que los usuarios finales sigan buenas prácticas de seguridad, como no abrir correos electrónicos no solicitados ni hacer clic en enlaces sospechosos.
Este ataque resalta la importancia de mantener las plataformas críticas, como los servidores de correo, constantemente actualizadas y reforzar las medidas de seguridad para protegerlas de ciberataques dirigidos.
