Vulnerabilidad 0 day en Zimbra
La misma puede permitir a quien ataca exfiltrar cookies de sesión, enviar correos electrónicos de forma arbitraria e incluso descargar artefactos desde sitios de internet.
Detalles técnicos
Dicha vulnerabilidad existe dado que Zimbra email platform es vulnerable a un ataque de tipo XSS (Cross-site scripting), permitiendo a quien ataca ejecutar código JavaScript sobre el navegador de la víctima y así acceder a información privilegiada. Asimismo, esta cookie permite acceder a la casilla de correo de la víctima sin conocer sus credenciales, durante todo el tiempo en el que este activa la sesión.
El vector de ataque identificado fue la recepción de archivos adjuntos en campañas de phishing conteniendo el código malicioso que es ejecutado por el cliente web de Zimbra.
Remediación
El 5 de febrero del 2022, Zimbra ha anunciado que el parche P30 de la versión 8.8.15 cuenta con la modificación necesaria para solucionar la vulnerabilidad, según indica el fabricante es necesario reinstalar el parche P30 para que descargue el nuevo código.
Recomendaciones
El fabricante confirma que la versión 9.0.0 no es vulnerable, por lo que se recomienda actualizar a la versión 9.0.0 de Zimbra y extremar los cuidados en cuanto a la recepción de correo electrónico sospechoso o no solicitado. Adicionalmente se insta a realizar una revisión de las trazas de auditoría del servidor Zimbra en busca de alguna interacción con evidencia de compromiso, así como bloquear a nivel de red el tráfico hacia esos destinos.
Referencias
Volexity - Indicadores de compromiso
Parche de seguridad P30 Zimbra
Configuraciones de seguridad para Zimbra Collaboration 8.8