 |
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha añadido el fallo CVE-2022-27924 de Zimbra a su "Catálogo de Vulnerabilidades Conocidas", indicando que es explotado activamente en los ataques de los hackers. |
En resumen, un hacker puede realizar el envenenamiento de Memcache a través de la inyección de CRLF y engañar al software para que reenvíe todo el tráfico IMAP al atacante cuando los usuarios legítimos intenten iniciar sesión.
Los investigadores de SonarSource descubrieron el fallo el 11 de marzo de 2022, y el proveedor de software publicó una corrección que solucionaba los problemas el 10 de mayo de 2022, con las versiones ZCS 9.0.0 Parche 24.1 y ZCS 8.8.15 Parche 31.1.
El informe técnico que acompañaba a la revelación de SonarSource era bastante completo, y dado que se publicó más de un mes después de que se pusieran a disposición las correcciones, ofrece a los hackers muchas pistas sobre cómo explotar el fallo.
Sin embargo, como se desprende de la última adición al catálogo de CISA, no todos los administradores han aplicado las actualizaciones de seguridad que están disponibles desde hace casi tres meses.
Dada esta oportunidad, los hackers intentan ahora localizar y atacar las instancias vulnerables. El robo de las credenciales de la cuenta de Zimbra les permite acceder al servidor de correo electrónico, abriendo el camino a los ataques de spear-phishing, ingeniería social y BEC (business email compromise).
Según el proveedor de software, Zimbra Collaboration es utilizado por más de 200.000 empresas y 1.000 entidades estatales y organizaciones críticas en 140 países, incluido Estados Unidos.
La adición por parte de CISA de CVE-2022-27924 al catálogo de fallos activamente explotados introduce la obligación para todas las agencias federales de Estados Unidos de aplicar las actualizaciones de seguridad disponibles hasta el 25 de agosto de 2022, que es la fecha límite establecida para este caso.
Por supuesto, las agencias y organizaciones no federales que utilizan Zimbra Collaboration y aún no han actualizado sus productos deberían hacerlo inmediatamente, ya que los ataques de hackers dirigidos a las instancias vulnerables ya están en marcha.