Especialistas en ciberseguridad reportan que un grupo de hacking chino está explotando una vulnerabilidad día cero en Zimbra con el fin de acceder a bandejas email expuestas y obtener información relacionada con gobiernos europeos y agencias de noticias. Los ataques fueron detectados el mes pasado por la firma de seguridad Volexity.
Los investigadores mencionan que el ataque comenzó a finales de 2021 y fue desplegado en dos etapas; para comenzar, los atacantes enviaron un email aparentemente legítimo con el que comenzaba una campaña de reconocimiento y enlistaba cuentas email activas. Posteriormente, los hackers incluían un enlace en el cuerpo del email con el que redirigían a los usuarios a un sitio web remoto donde el código JavaScript malicioso ejecutaría un ataque de scripts entre sitios (XSS) contra la plataforma Zimbra.
Los investigadores mencionan que el código abusa de un error en los clientes email Zimbra ejecutando versiones 8.8.15 P29 y P30, lo que permitiría el robo de cookies de sesión. Los actores de amenazas podrían conectarse a una cuenta comprometida para acceder a los emails almacenados, además de enviar mensajes de phishing a otros usuarios y entregar malware de forma muy fácil.
Si bien actualmente hay más de 33,000 servidores Zimbra conectados a Internet, los expertos mencionan que la vulnerabilidad día cero no funciona contra las versiones de Zimbra 9.x, por lo que la superficie de ataque es mucho menor de lo que se pensaba al inicio.
Volexity concluyó mencionando que, basándose en las características del ataque, fue imposible determinar qué grupo de amenazas está detrás de este ataque, por lo que solo lo identificaron como TEMP_Heretic. Aún así, los investigadores creen que el ataque fue orquestado por un actor de amenazas chino.
Se recomienda a los administradores sistemas usando Zimbra revisar el informe completo para determinar cuáles son las mejores medidas de seguridad que pueden aplicarse para prevenir un ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.