Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 20/10/2022] Múltiples vulnerabilidades en Zimbra Collaboration Suite (ZCS)

Fecha de publicación 17/08/2022
Identificador

INCIBE-2022-888

Importancia
5 - Crítica
Recursos Afectados

Zimbra Collaboration Suite (ZCS).

Descripción

CISA y MS-ISAC advierten de la explotación activa de múltiples vulnerabilidades en Zimbra Collaboration Suite (ZCS).

Solución

Adicionalmente, se recomienda aplicar el siguiente listado de buenas prácticas:

  • Implementar y mantener un plan de respuesta a incidentes.
  • Implementar un programa de gestión de vulnerabilidades, donde se priorice la gestión de parches y el escaneo de vulnerabilidades conocidas.
  • Configurar y proteger adecuadamente los dispositivos de red conectados a Internet:
    • no exponer las interfaces de gestión en Internet,
    • desactivar los puertos y protocolos de red no utilizados,
    • desactivar o eliminar los servicios y dispositivos de red que no se utilicen.
  • Seguir el principio de confianza cero:
    • limitar o bloquear los movimientos laterales con microsegmentación de redes y funciones,
    • aplicar la autenticación multifactor (MFA) en todos los usuarios y conexiones VPN,
    • restringir el acceso, en las redes, a los dispositivos y usuarios de confianza.
Detalle
  • Un atacante, no autenticado, podría inyectar comandos arbitrarios en una instancia de ZCS para sobrescribir entradas arbitrarias en la caché. De esta forma, podría obtener las credenciales de la cuenta de correo electrónico de ZCS en forma de texto claro, sin ninguna interacción del usuario. Con las credenciales válidas de la cuenta de correo electrónico en una organización que no aplique la autenticación multifactor (MFA), el atacante podría llevar a cabo un phishing selectivo, la ingeniería social y los ataques de compromiso del correo electrónico comercial (BEC) contra la organización comprometida. Además, también podría utilizar las credenciales de cuentas válidas para abrir webshells y mantener un acceso persistente. Se ha asignado el identificador CVE-2022-27924 para esta vulnerabilidad.
  • Una vulnerabilidad en la funcionalidad mboximport podría permitir a un atacante, autenticado, cargar archivos arbitrarios en el sistema y recorrer directorios. Se ha asignado el identificador CVE-2022-27925 para esta vulnerabilidad.
  • Una evasión de autenticación en la función MailboxImportServlet podría permitir a un atacante, no autentificado, acceder a una instancia de ZCS vulnerable. Se ha asignado el identificador CVE-2022-37042 para esta vulnerabilidad.
  • Una vulnerabilidad en RARLAB UnRAR, en Linux y UNIX, podría permitir a un atacante escribir en los archivos durante una operación de extracción (desempaquetado), mediante el envío de un correo electrónico con un archivo RAR malicioso. Se ha asignado el identificador CVE-2022-30333 para esta vulnerabilidad.
  • Una vulnerabilidad de XSS podría permitir a un atacante robar archivos de cookies de sesión. Se ha asignado el identificador CVE-2022-24682 para esta vulnerabilidad.

Encuesta valoración