Canal de Telegram

13 jul 2023

Segu-Info » , » Actualiza AHORA Zimbra 8.8.15

Actualiza AHORA Zimbra 8.8.15

13 jul 2023, 5:27:00 p.m.   Comenta primero!
  ,  

Zimbra insta a los administradores a corregir manualmente HOY una vulnerabilidad Zero-Day que se está explotando activamente para comprometer los servidores de correo electrónico de Zimbra Collaboration Suite (ZCS). La vulnerabilidad afecta a en Zimbra Collaboration Suite Versión 8.8.15.

La falla de seguridad (que actualmente carece de una ID de CVE) es un Cross-Site Scripting (XSS) reflejado descubierto e informado por el investigador de seguridad Clément Lecigne de Google Threat Analysis Group.

Como parte de este ataque XSS, los actores de amenazas podrían robar información confidencial del usuario o ejecutar código malicioso en sistemas vulnerables. Si bien Zimbra no reveló que la falla se usó en ataques, Maddie Stone de Google TAG reveló hoy que la vulnerabilidad XSS se descubrió mientras se explotaba en un ataque dirigido.

Si bien Zimbra aún no ha proporcionado parches de seguridad para abordar este Zero-Day explotado activamente, proporcionó una solución que los administradores pueden aplicar manualmente para eliminar el vector de ataque.

"Para mantener el más alto nivel de seguridad, solicitamos amablemente su cooperación para aplicar la solución manualmente en todos los nodos de su buzón", dijo la compañía.

El procedimiento necesario para mitigar la vulnerabilidad en todos los nodos de buzón de forma manual requiere que los administradores realicen los siguientes pasos:

  1. Hscer backup de /opt/zimbra/jetty/webapps/zimbra/m/momoveto
  2. Esitar la línea 40 del archivo
  3. Actualizar con este código:
    <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>

La inclusión de la función escapeXml() ahora limpia los datos ingresados por el usuario escapando de los caracteres especiales utilizados en el XML y para evitar fallas XSS.

La solución se puede aplicar sin tiempo de inactividad porque no se requiere reiniciar el servicio de Zimbra para aplicar la mitigación.

Servidores Zimbra bajo ataque

Los administradores deben priorizar la mitigación de este Zero-Day, dado que en los últimos años ha sido muy común explotar errores de Zimbra para atacar servidores de correo electrónico vulnerables.

Por ejemplo, ya en junio de 2022, se explotaron errores de omisión de autenticación y ejecución remota de código de Zimbra para violar más de 1000 servidores.

A partir de septiembre de 2022, los delincuentes informáticos comenzaron a abusar de una vulnerabilidad RCE sin parches en Zimbra Collaboration Suite, comprometiendo casi 900 servidores vulnerables en dos meses.

El grupo de hacking ruso Winter Vivern también usó exploits dirigidos a otro error XSS reflejado desde febrero de 2023 para violar los portales de correo web de los gobiernos alineados con la OTAN y robar buzones de correo electrónico pertenecientes a funcionarios, gobiernos, personal militar y diplomáticos.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!