Llegamos a ustedes gracias a:



Alertas de Seguridad

Vulnerabilidades de gravedad alta y media

Que afectan a Zimbra Collaboration Suite

[21/10/2022] Los actores de las amenazas están explotando activamente múltiples Vulnerabilidades y Exposiciones Comunes (CVEs) contra el software de colaboración empresarial alojado en la nube y la plataforma de correo electrónico Zimbra Collaboration Suite (ZCS), de acuerdo con una actualización de asesoramiento emitida conjuntamente por la Agencia de Ciberseguridad y Seguridad de la Infraestructura de los Estados Unidos (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC). La última actualización enumera los CVEs que están siendo explotados en la actualidad, basándose en un nuevo informe de análisis de malware, MAR-10398871.r1.v2, y advierte que los actores de las amenazas pueden estar apuntando a instancias de ZCS no parcheadas, tanto en redes gubernamentales como del sector privado.

Las vulnerabilidades pueden permitir el robo de credenciales y de archivos de cookies de sesión, y la carga arbitraria de archivos

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Las CVE enumeradas en el CSA incluyen vulnerabilidades de gravedad alta y media:

  • CVE-2022-27924: Una vulnerabilidad de alta gravedad que permite a un actor malintencionado no autentificado inyectar comandos arbitrarios de memcache en una instancia ZCS objetivo, y causar una sobreescritura de entradas arbitrarias en la caché. Un actor podría entonces robar las credenciales de la cuenta de correo electrónico de ZCS en forma de texto claro sin ninguna interacción del usuario.
  • CVE-2022-27925 (encadenado con CVE-2022-37042): Una vulnerabilidad de alta gravedad en las versiones 8.8.15 y 9.0 de ZCS que tienen la funcionalidad mboximport para recibir un archivo ZIP y extraer archivos de él. Un usuario autenticado tiene la capacidad de cargar archivos arbitrarios en el sistema, lo que lleva a atravesar directorios.
  • CVE-2022-30333: Una vulnerabilidad de alta gravedad en el cruce de directorios en RARLAB UnRAR en Linux y UNIX que permite a un actor malicioso escribir en los archivos durante una operación de extracción (desempaquetado). Un actor malicioso podría explotarla contra un servidor ZCS enviando un correo electrónico con un archivo RAR malicioso.
  • CVE-2022-24682: Una vulnerabilidad de gravedad media que afecta a los clientes de correo web de ZCS que ejecutan versiones anteriores a la 8.8.15 parche 30 (actualización 1), que contienen una vulnerabilidad de secuencias de comandos entre sitios (XSS) que permite a los actores maliciosos robar archivos de cookies de sesión.

En el nuevo informe de análisis de malware, la CSA declaró que el CISA recibió un archivo ejecutable de Windows de 32 bits benigno, una biblioteca de enlaces dinámicos (DLL) maliciosa y un archivo cifrado para su análisis de una organización en la que los ciberagentes explotaron las vulnerabilidades mencionadas. "El archivo ejecutable está diseñado para cargar lateralmente el archivo DLL malicioso", se lee. "La DLL está diseñada para cargar y descifrar con OR exclusivo (XOR) el archivo cifrado. El archivo descifrado contiene un binario de Cobalt Strike Beacon. El Cobalt Strike Beacon es un implante malicioso en un sistema comprometido que vuelve a llamar al servidor de comando y control (C2) y busca comandos adicionales para ejecutar en el sistema comprometido".

Se insta a las organizaciones a asumir el compromiso y a buscar la actividad maliciosa

CISA y el MS-ISAC instaron a los usuarios y administradores a aplicar mitigaciones para ayudar a asegurar los sistemas de su organización contra la ciberactividad maliciosa. También alentaron a las empresas que no actualizaron inmediatamente sus instancias de ZCS tras el lanzamiento del parche, o cuyas instancias de ZCS estaban expuestas a Internet, a asumir el compromiso y buscar la actividad maliciosa.

La CSA recomienda a las organizaciones que actualicen a las últimas versiones de ZCS, como se indica en Zimbra Security - News & Alerts y Zimbra Security Advisories. También aconseja las siguientes buenas prácticas para reducir el riesgo de compromiso:

  • Mantener y probar un plan de respuesta a incidentes. Asegúrese de que su organización cuenta con un programa de gestión de vulnerabilidades y que prioriza la gestión de parches y el escaneo de vulnerabilidades conocidas.
  • Configure y proteja adecuadamente los dispositivos de red que se conectan a Internet para evitar la exposición de las interfaces de gestión a Internet, desactive los puertos y protocolos de red que no se utilicen o sean innecesarios, y desactive o elimine los servicios y dispositivos de red que no se utilicen.
  • Adoptar los principios y la arquitectura de confianza cero, incluida la microsegmentación de las redes y las funciones, la autenticación de múltiples factores (MFA) resistente al phishing para todos los usuarios y las conexiones de redes privadas virtuales (VPN), y la restricción del acceso a los dispositivos y usuarios de confianza en las redes.

Las organizaciones que detecten un compromiso o un posible compromiso deben aplicar los siguientes pasos, continúa el aviso:

  • Recoger y revisar los artefactos, como los procesos/servicios en ejecución, las autenticaciones inusuales y las conexiones de red recientes.
  • Poner en cuarentena o desconectar los hosts potencialmente afectados.
  • Reimaginar los hosts comprometidos.
  • Proporcionar nuevas credenciales de cuenta.
  • Informar del problema a CISA a través del Centro de Operaciones 24/7 de CISA (report@cisa.gov). Las entidades gubernamentales de SLTT también pueden informar al MS-ISAC (SOC@cisecurity.org).

En declaraciones a CSO, el analista principal de Omdia, Fernando Montenegro, afirmó que la guía actualizada ayudará a los equipos de seguridad sobrecargados a dar prioridad a ciertos parches sobre otros. "Aun así, la aplicación de parches es una tarea de Sísifo, y nunca es tan sencilla como parece, sobre todo cuando se trata de aplicaciones que pueden interrumpir el flujo del negocio diario. Las organizaciones que buscan protegerse contra las amenazas deben tener visibilidad del tráfico real que llega a las aplicaciones, añadió. "Las firmas de detección de intrusos se escriben basándose en las peticiones HTTP, por lo que la visibilidad de tipo capa 7 es clave. Las herramientas por sí solas no son suficientes, por supuesto: recomendamos que las organizaciones cuenten con una capacidad más amplia de detección, investigación y respuesta a las amenazas (TDIR) -ya sea interna o mediante socios- que pueda supervisar las cosas de forma continua y responder según sea necesario".