ZIMBRA COLLABORATION SUITE: VULNERABILIDADES CON RIESGOS ALTOS Y MEDIOS.

Los actores de amenazas están explotando activamente múltiples vulnerabilidades y exposiciones comunes (CVE) contra el software de colaboración empresarial alojado en la nube y la plataforma de correo electrónico Zimbra Collaboration Suite (ZCS), según una actualización de asesoramiento emitida conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC). La última actualización enumera los CVE que se están explotando actualmente, advierte que los actores de amenazas pueden estar apuntando a instancias ZCS sin parches en redes gubernamentales y del sector privado e incluye un nuevo Informe de análisis de malware, MAR-10398871.r1.v2 .

Las vulnerabilidades pueden permitir el robo de archivos de cookies de sesión y credenciales, cargas de archivos arbitrarias

Los CVE enumerados en la CSA incluyen vulnerabilidades de gravedad alta y media:

• CVE-2022-27924 : Una vulnerabilidad de alta gravedad que permite a un actor malicioso no autenticado inyectar comandos arbitrarios de Memcache en una instancia de ZCS específica y provocar una sobrescritura de entradas arbitrarias en caché. Luego, un actor podría robar las credenciales de la cuenta de correo electrónico de ZCS en forma de texto claro sin ninguna interacción del usuario.
• CVE-2022-27925 (encadenado con CVE-2022-37042 ): una vulnerabilidad de alta gravedad en las versiones 8.8.15 y 9.0 de ZCS que tienen la funcionalidad mboximport para recibir un archivo ZIP y extraer archivos de él. Un usuario autenticado tiene la capacidad de cargar archivos arbitrarios en el sistema, lo que lleva al cruce de directorios.
• CVE-2022-30333 : una vulnerabilidad transversal de directorio de alta gravedad en RARLAB UnRAR en Linux y UNIX que permite a un actor malicioso escribir en archivos durante una operación de extracción (desempaquetado). Un actor malicioso podría explotarlo contra un servidor ZCS enviando un correo electrónico con un archivo RAR malicioso.
• CVE-2022-24682: una vulnerabilidad de gravedad media que afecta a los clientes de correo web de ZCS que ejecutan versiones anteriores a la 8.8.15 parche 30 (actualización 1), que contiene una vulnerabilidad de secuencias de comandos entre sitios (XSS) que permite a los actores maliciosos robar archivos de cookies de sesión.

En el nuevo informe de análisis de malware, la CSA declaró que CISA recibió un archivo ejecutable benigno de Windows de 32 bits, una biblioteca de enlaces dinámicos (DLL) maliciosa y un archivo cifrado para análisis de una organización donde los ciberataques explotaron las vulnerabilidades anteriores. “El archivo ejecutable está diseñado para cargar lateralmente el archivo DLL malicioso”, decía. “La DLL está diseñada para cargar y descifrar con OR exclusivo (XOR) el archivo cifrado. El archivo descifrado contiene un binario Cobalt Strike Beacon. Cobalt Strike Beacon es un implante malicioso en un sistema comprometido que vuelve a llamar al servidor de comando y control (C2) y busca comandos adicionales para ejecutar en el sistema comprometido”.

Desde la empresa informan que no existe por el momento un parche adecuado para mitigar el riesgo, pero solicitan a las compañías a asumir compromisos y buscar actividades maliciosas.