Blog

Cientos de servidores con Zimbra han sido comprometidos utilizando el ZERO-DAY CVE-2022-41352

Desde nuestra última alerta de seguridad relacionada con Zimbra, Exchange Server, Fortinet y VM2, se tiene una estimación de que casi 900 servidores de Zimbra Collaboration Suite (ZCS) han sido hackeados/comprometidos utilizando una vulnerabilidad crítica de día cero (zero-day), la cual ha sido rastreada como CVE-2022-41352, cuya puntuación CVSS es de 9.8/10. Cómo también cuyo tiempo de exposición sin algún parche correspondiente es de casi 1.5 meses. Dejando bastante tiempo a que diferentes actores de amenazas puedan explotar dicha vulnerabilidad y tomar el control de los equipos.

La vulnerabilidad rastreada como CVE-2022-41352, es una falla de ejecución remota de código que permite a los atacantes enviar un correo electrónico con un archivo adjunto malicioso que planta una webshells el servidor de Zimbra Collaboration Suite y, al mismo tiempo, omite las comprobaciones antivirus.

Según la compañía de ciberseguridad rusa Kaspersky, a través de un comunicado en su página web, alerta a sus lectores que varios grupos APT (amenaza persistente avanzada) han estado explotando de manera activa la falla de seguridad, poco tiempo después de que se informara en los foros de Zimbra. Además de ello, Kaspersky compartió al medio de comunicación de Tecnología y Ciberseguridad, BleepingComputer, que han logrado detectar a lo menos 876 servidores de Zimbra Collaboration Suite comprometidos por atacantes altamente sofisticados que aprovechaban la vulnerabilidad antes que se publicará ampliamente y recibiera su etiqueta de rastreo CVE.

Aunque, según en una cadena de Tweets de la empresa de Ciberseguridad Volexity, comentan que se ha llegado a identificar un aproximado de 1.600 servidores con Zimbra Collaboration Suite en todo el mundo y que probablemente estén comprometidos como resultado del ZERO-DAY.

En conversaciones privadas con la firma de ciberseguridad Kaspersky, BleepingComputer comenta que un APT desconocido ha estado aprovechando la falla crítica de seguridad y que probablemente había reunido un exploit basado en la información publicada en los foros de Zimbra.

Además, que los primeros ataques comenzaron en septiembre, dirigidos a servidores Zimbra vulnerables en India y Turquía. Esta ola inicial de ataques fue probablemente una ola de prueba contra objetivos de bajo interés para evaluar la efectividad del ataque.

Sin embargo, Kaspersky evaluó que los actores de amenazas comprometieron a lo menos, 44 servidores durante esta ola inicial.

Tan pronto como la vulnerabilidad se hizo pública, los actores de amenazas cambiaron de marcha y comenzaron a realizar ataques contra objetivos de manera masiva, con la esperanza de comprometer tantos servidores en todo el mundo como fuera posible, antes de que los administradores parchearan los sistemas.

Esta segunda ola tuvo un mayor impacto, infectando alrededor de 832 servidores con webshells maliciosos, aunque estos ataques fueron más aleatorios que los ataques anteriores.

Zimbra ha reconocido la vulnerabilidad y el 11 de octubre ha lazado una ronda de parches de seguridad para mitigar esta y otras fallas de seguridad, más información en la Wiki de Security Center de la empresa.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required