Cientos de servidores con Zimbra han sido comprometidos utilizando el ZERO-DAY CVE-2022-41352

 

Desde nuestra última alerta de seguridad relacionada con Zimbra, Exchange Server, Fortinet y VM2, se tiene una estimación de que casi 900 servidores de Zimbra Collaboration Suite (ZCS) han sido hackeados/comprometidos utilizando una vulnerabilidad crítica de día cero (zero-day), la cual ha sido rastreada como CVE-2022-41352, cuya puntuación CVSS es de 9.8/10. Cómo también cuyo tiempo de exposición sin algún parche correspondiente es de casi 1.5 meses. Dejando bastante tiempo a que diferentes actores de amenazas puedan explotar dicha vulnerabilidad y tomar el control de los equipos.

La vulnerabilidad rastreada como CVE-2022-41352, es una falla de ejecución remota de código que permite a los atacantes enviar un correo electrónico con un archivo adjunto malicioso que planta una webshells el servidor de Zimbra Collaboration Suite y, al mismo tiempo, omite las comprobaciones antivirus.

Según la compañía de ciberseguridad rusa Kaspersky, a través de un comunicado en su página web, alerta a sus lectores que varios grupos APT (amenaza persistente avanzada) han estado explotando de manera activa la falla de seguridad, poco tiempo después de que se informara en los foros de Zimbra. Además de ello, Kaspersky compartió al medio de comunicación de Tecnología y Ciberseguridad, BleepingComputer, que han logrado detectar a lo menos 876 servidores de Zimbra Collaboration Suite comprometidos por atacantes altamente sofisticados que aprovechaban la vulnerabilidad antes que se publicará ampliamente y recibiera su etiqueta de rastreo CVE.

Aunque, según en una cadena de Tweets de la empresa de Ciberseguridad Volexity, comentan que se ha llegado a identificar un aproximado de 1.600 servidores con Zimbra Collaboration Suite en todo el mundo y que probablemente estén comprometidos como resultado del ZERO-DAY.

En conversaciones privadas con la firma de ciberseguridad Kaspersky, BleepingComputer comenta que un APT desconocido ha estado aprovechando la falla crítica de seguridad y que probablemente había reunido un exploit basado en la información publicada en los foros de Zimbra.

Además, que los primeros ataques comenzaron en septiembre, dirigidos a servidores Zimbra vulnerables en India y Turquía. Esta ola inicial de ataques fue probablemente una ola de prueba contra objetivos de bajo interés para evaluar la efectividad del ataque.

Sin embargo, Kaspersky evaluó que los actores de amenazas comprometieron a lo menos, 44 servidores durante esta ola inicial.

Tan pronto como la vulnerabilidad se hizo pública, los actores de amenazas cambiaron de marcha y comenzaron a realizar ataques contra objetivos de manera masiva, con la esperanza de comprometer tantos servidores en todo el mundo como fuera posible, antes de que los administradores parchearan los sistemas.

Esta segunda ola tuvo un mayor impacto, infectando alrededor de 832 servidores con webshells maliciosos, aunque estos ataques fueron más aleatorios que los ataques anteriores.

Zimbra ha reconocido la vulnerabilidad y el 11 de octubre ha lazado una ronda de parches de seguridad para mitigar esta y otras fallas de seguridad, más información en la Wiki de Security Center de la empresa.

Fuente: Cronup

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos