{"id":1049255,"date":"2023-11-16T16:58:56","date_gmt":"2023-11-16T16:58:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallo-de-dia-cero-en-el-software-de-correo-electronico-zimbra-explotado-por-cuatro-grupos-de-piratas-informaticos\/"},"modified":"2023-11-16T16:59:00","modified_gmt":"2023-11-16T16:59:00","slug":"fallo-de-dia-cero-en-el-software-de-correo-electronico-zimbra-explotado-por-cuatro-grupos-de-piratas-informaticos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallo-de-dia-cero-en-el-software-de-correo-electronico-zimbra-explotado-por-cuatro-grupos-de-piratas-informaticos\/","title":{"rendered":"Fallo de d\u00eda cero en el software de correo electr\u00f3nico Zimbra explotado por cuatro grupos de piratas inform\u00e1ticos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de noviembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Vulnerabilidad\/Seguridad del correo electr\u00f3nico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Fallo-de-dia-cero-en-el-software-de-correo-electronico.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Cuatro grupos diferentes explotaron una falla de d\u00eda cero en el software de correo electr\u00f3nico de Zimbra Collaboration en ataques del mundo real para robar datos de correo electr\u00f3nico, credenciales de usuario y tokens de autenticaci\u00f3n.<\/p>\n<p>&#8220;La mayor parte de esta actividad se produjo despu\u00e9s de que la soluci\u00f3n inicial se hiciera p\u00fablica en GitHub&#8221;, Google Threat Analysis Group (TAG) <a rel=\"nofollow noopener\" href=\"https:\/\/blog.google\/threat-analysis-group\/zimbra-0-day-used-to-steal-email-data-from-government-organizations\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>El defecto, rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-37580\" target=\"_blank\">CVE-2023-37580<\/a> (Puntuaci\u00f3n CVSS: 6.1), es una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS) que afecta a las versiones anteriores al parche 8.8.15 41. Zimbra la abord\u00f3 como parte de los parches lanzados el 25 de julio de 2023.<\/p>\n<p>La explotaci\u00f3n exitosa de la deficiencia podr\u00eda permitir la ejecuci\u00f3n de scripts maliciosos en el navegador web de las v\u00edctimas simplemente enga\u00f1\u00e1ndolos para que hagan clic en una URL especialmente dise\u00f1ada, iniciando efectivamente la solicitud XSS a Zimbra y reflejando el ataque al usuario.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-expertos-advierten-sobre-piratas-informaticos-de-ransomware-que-explotan.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Google TAG, a cuyo investigador Cl\u00e9ment Lecigne se le atribuy\u00f3 el descubrimiento y el informe del error, dijo que descubri\u00f3 m\u00faltiples oleadas de campa\u00f1as a partir del 29 de junio de 2023, al menos dos semanas antes de que Zimbra emitiera un aviso.<\/p>\n<p>Tres de las cuatro campa\u00f1as se observaron antes del lanzamiento del parche, y la cuarta campa\u00f1a se detect\u00f3 un mes despu\u00e9s de que se publicaran las correcciones.<\/p>\n<p>Se dice que la primera campa\u00f1a se dirigi\u00f3 a una organizaci\u00f3n gubernamental en Grecia, enviando correos electr\u00f3nicos que conten\u00edan URL de explotaci\u00f3n a sus objetivos que, al hacer clic, entregaban un malware de robo de correo electr\u00f3nico observado previamente en una operaci\u00f3n de ciberespionaje denominada EmailThief en febrero de 2022.<\/p>\n<p>El conjunto de intrusi\u00f3n, cuyo nombre en c\u00f3digo Volexity es TEMP_HERETIC, tambi\u00e9n aprovech\u00f3 una falla de d\u00eda cero en Zimbra para llevar a cabo los ataques.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Fallo-de-dia-cero-en-el-software-de-correo-electronico.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Fallo-de-dia-cero-en-el-software-de-correo-electronico.png\" alt=\"Fallo de d\u00eda cero en el software de correo electr\u00f3nico Zimbra\" border=\"0\" data-original-height=\"874\" data-original-width=\"1248\" title=\"Fallo de d\u00eda cero en el software de correo electr\u00f3nico Zimbra\"\/><\/a><\/div>\n<p>El segundo actor de amenazas que explota CVE-2023-37580 es Winter Vivern, que atac\u00f3 a organizaciones gubernamentales en Moldavia y T\u00fanez poco despu\u00e9s de que se enviara un parche para la vulnerabilidad a GitHub el 5 de julio.<\/p>\n<p>Vale la pena se\u00f1alar que el colectivo adversario ha sido vinculado con la explotaci\u00f3n de vulnerabilidades de seguridad en Zimbra Collaboration y Roundcube por parte de Proofpoint y ESET este a\u00f1o.<\/p>\n<p>TAG dijo que detect\u00f3 a un tercer grupo no identificado armando el error antes de que se implementara el parche el 25 de julio para obtener credenciales pertenecientes a una organizaci\u00f3n gubernamental en Vietnam.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En este caso, la URL del exploit apuntaba a un script que mostraba una p\u00e1gina de phishing para las credenciales de correo web de los usuarios y publicaba credenciales robadas en una URL alojada en un dominio oficial del gobierno que los atacantes probablemente comprometieron&#8221;, se\u00f1al\u00f3 TAG.<\/p>\n<p>Por \u00faltimo, una organizaci\u00f3n gubernamental en Pakist\u00e1n fue atacada utilizando la falla el 25 de agosto, lo que result\u00f3 en la exfiltraci\u00f3n del token de autenticaci\u00f3n Zimbra a un dominio remoto llamado &#8220;ntcpk[.]organizaci\u00f3n.&#8221;<\/p>\n<p>Google se\u00f1al\u00f3 adem\u00e1s un patr\u00f3n en el que los actores de amenazas explotan regularmente las vulnerabilidades XSS en los servidores de correo, lo que requiere que dichas aplicaciones sean auditadas minuciosamente.<\/p>\n<p>&#8220;El descubrimiento de al menos cuatro campa\u00f1as que explotan CVE-2023-37580, tres campa\u00f1as despu\u00e9s de que el error se hiciera p\u00fablico por primera vez, demuestra la importancia de que las organizaciones apliquen correcciones a sus servidores de correo lo antes posible&#8221;, dijo TAG.<\/p>\n<p>&#8220;Estas campa\u00f1as tambi\u00e9n resaltan c\u00f3mo los atacantes monitorean los repositorios de c\u00f3digo abierto para explotar de manera oportunista las vulnerabilidades donde la soluci\u00f3n est\u00e1 en el repositorio, pero a\u00fan no se ha entregado a los usuarios&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/zero-day-flaw-in-zimbra-email-software.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de noviembre de 2023\ue804Sala de redacci\u00f3nVulnerabilidad\/Seguridad del correo electr\u00f3nico Cuatro grupos diferentes explotaron una falla de d\u00eda<\/p>\n","protected":false},"author":1,"featured_media":1049256,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,2127,4664,1838,102,1478,5933,7881,10273,4662,8177,6214,4668,201033,4654,201031,4659,4653,4655,6213,231,4666,4665,6246,201032,4660,12257],"class_list":["post-1049255","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cero","tag-como-hackear","tag-correo","tag-cuatro","tag-dia","tag-electronico","tag-explotado","tag-fallo","tag-filtracion-de-datos","tag-grupos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-por","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software","tag-zimbra"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1049255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1049255"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1049255\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1049256"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1049255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1049255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1049255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}