A veces, lo que parece una simple herramienta de trabajo puede convertirse en un serio problema de seguridad. Eso es justo lo que está pasando con Zimbra, una plataforma muy usada para correo y colaboración. Una reciente vulnerabilidad, que permite a los atacantes ejecutar código de forma remota (RCE), está siendo aprovechada para colarse en servidores y dejar puertas traseras. ¿Qué significa esto? Básicamente, los hackers pueden acceder y manipular sistemas críticos sin ser detectados. Si usas Zimbra en tu organización, es momento de poner atención. Aquí te contamos qué está pasando y cómo puedes protegerte antes de que sea demasiado tarde.
Vulnerabilidad de Ejecución Remota de Código (RCE) en Zimbra
Los piratas informáticos están explotando activamente una vulnerabilidad RCE recientemente descubierta en los servidores de correo electrónico de Zimbra, la cual puede activarse simplemente enviando correos especialmente diseñados al servidor SMTP.
Esta falla de ejecución remota de código, identificada como CVE-2024-45519, afecta el servicio de publicación de Zimbra, encargado de analizar los correos electrónicos entrantes a través de SMTP. Los atacantes pueden aprovecharla enviando correos con comandos maliciosos incrustados en el campo CC, que se ejecutan cuando el servidor de Zimbra procesa dichos correos.
Se ha detectado que los atacantes están enviando correos que imitan a Gmail, utilizando direcciones falsas y colocando código malicioso en el campo "CC". Si el correo está correctamente diseñado, el servidor de Zimbra interpretará los comandos en ese campo y los ejecutará, comprometiendo así el sistema. La actividad maliciosa fue detectada el 28 de septiembre, solo un día después de que los investigadores de Project Discovery publicaran un exploit de prueba de concepto.
Los correos maliciosos contienen cadenas codificadas en base 64 que se ejecutan en el servidor Zimbra a través del shell 'sh', lo que permite a los atacantes crear y colocar un webshell.
Una vez que el webshell está instalado, queda a la espera de conexiones que incluyan una cookie específica, llamada JSESSIONID. Si esa cookie es detectada, el webshell analiza otra cookie (JACTION) que lleva comandos codificados en base64 para ejecutar. Además, el webshell permite descargar y ejecutar archivos en el servidor comprometido, lo que otorga a los atacantes acceso completo al sistema. Esto les permite robar datos o moverse dentro de la red interna.
Webshell en el servidor Zimbra
Podría interesarte leer: Ciberseguridad en Octubre: Mes de la Concientización
Exploits y Parches
La semana pasada, se publicó un informe técnico sobre la vulnerabilidad CVE-2024-45519, que incluye un exploit de prueba de concepto (PoC) que coincide con los ataques que se están observando actualmente.
Al analizar el parche de Zimbra, los investigadores descubrieron que la función "popen", que recibía entradas de usuario, fue reemplazada por una nueva función llamada "execvp", la cual incluye un mecanismo para validar correctamente esas entradas y evitar posibles exploits.
A través de un análisis detallado, descubrieron que es posible enviar comandos SMTP al servicio de publicación de Zimbra a través del puerto 10027, lo que permite la ejecución arbitraria de comandos. También se publicó un exploit funcional en formato de script de Python, accesible en GitHub.
Además de aplicar las actualizaciones de seguridad, se sugiere que los administradores desactiven el servicio 'postjournal' si no es esencial para sus operaciones y revisen la configuración de 'mynetworks' para evitar accesos no autorizados.
Según el boletín de seguridad de Zimbra, la vulnerabilidad CVE-2024-45519 ya ha sido corregida en las versiones 9.0.0 parche 41, 10.0.9, 10.1.1, y en la versión 8.8.15 con el parche 46 o posterior. Dado que esta vulnerabilidad está siendo activamente explotada, se recomienda a los usuarios actualizar sus sistemas a las versiones más recientes o, al menos, aplicar las medidas de mitigación sugeridas.
Conclusión
La vulnerabilidad crítica en Zimbra destaca lo peligrosas que pueden ser las vulnerabilidades de ejecución remota de código y la rapidez con la que pueden ser explotadas por atacantes maliciosos. Si bien Zimbra ha lanzado un parche para solucionar el problema, es responsabilidad de las organizaciones que utilizan este software tomar medidas inmediatas para proteger sus sistemas.
La implementación de actualizaciones de seguridad, el monitoreo constante de los servidores y la adopción de buenas prácticas de seguridad informática son pasos esenciales para mitigar el riesgo de futuros ataques. Una respuesta rápida ante estas amenazas es clave para evitar daños mayores y proteger la integridad de las operaciones empresariales.