La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves adicional dos defectos en su Catálogo de vulnerabilidades explotadas conocidascitando evidencia de explotación activa.
Los dos problemas de alta gravedad se relacionan con debilidades en Zimbra Collaboration, las cuales podrían encadenarse para lograr la ejecución remota de código no autenticado en los servidores de correo electrónico afectados:
- CVE-2022-27925 (Puntuación CVSS: 7.2) – Ejecución remota de código (RCE) a través de mboximport desde un usuario autenticado (corregido en versiones 8.8.15 Parche 31 y 9.0.0 Parche 24 lanzados en marzo)
- CVE-2022-37042 – Omisión de autenticación en MailboxImportServlet (corregido en versiones 8.8.15 Parche 33 y 9.0.0 Parche 26 lanzados en agosto)
«Si está ejecutando una versión de Zimbra anterior a Zimbra 8.8.15 parche 33 o Zimbra 9.0.0 parche 26, debe actualizar al último parche lo antes posible», Zimbra prevenido a principios de esta semana.
CISA no ha compartido ninguna información sobre los ataques que explotan las fallas, pero la firma de ciberseguridad Volexity descrito Explotación masiva en estado salvaje de las instancias de Zimbra por parte de un actor de amenazas desconocido.
En pocas palabras, los ataques implican aprovechar la falla de omisión de autenticación antes mencionada para obtener la ejecución remota de código en el servidor subyacente mediante la carga de archivos arbitrarios.
Volexity dijo que «era posible omitir la autenticación al acceder al mismo punto final (mboximport) utilizado por CVE-2022-27925», y que la falla «podría explotarse sin credenciales administrativas válidas, lo que hace que la vulnerabilidad sea significativamente más crítica».
También seleccionó más de 1000 instancias en todo el mundo que fueron pirateadas y comprometidas mediante este vector de ataque, algunas de las cuales pertenecen a departamentos y ministerios gubernamentales; ramas militares; y empresas con miles de millones de dólares de ingresos.
Los ataques, que ocurrieron a fines de junio de 2022, también involucraron el despliegue de shells web para mantener el acceso a largo plazo a los servidores infectados. Los principales países con las instancias más comprometidas incluyen EE. UU., Italia, Alemania, Francia, India, Rusia, Indonesia, Suiza, España y Polonia.
«CVE-2022-27925 se incluyó originalmente como un exploit RCE que requiere autenticación», dijo Volexity. «Sin embargo, cuando se combinó con un error separado, se convirtió en un exploit RCE no autenticado que hizo que la explotación remota fuera trivial».
La divulgación se produce una semana después de que CISA agregara al catálogo otro error relacionado con Zimbra, CVE-2022-27924, que, de ser explotado, podría permitir a los atacantes robar credenciales de texto sin formato de los usuarios de las instancias objetivo.