Home Ciberguerra Un fallo de día cero en Zimbra explotado contra los estados europeos

Un fallo de día cero en Zimbra explotado contra los estados europeos

La plataforma de mensajería de código abierto, Zimbra, contiene una vulnerabilidad crítica que ha sido explotada en ataques contra medios de comunicación y gobiernos europeos. Detrás de esta campaña, se culpa a un grupo de origen chino.

El proveedor de seguridad Volexity ha descubierto la vulnerabilidad de día cero en Zimbra, el software de correo electrónico de código abierto. Y lo que es peor, la vulnerabilidad se utilizó para acceder a los correos electrónicos de las instituciones gubernamentales europeas y de los medios de comunicación. Volexity alertó a Zimbra el 16 de diciembre, pero Zimbra aún no ha publicado un parche.

Los expertos de Volexity dieron más detalles sobre el ataque y el modus operandi de un grupo llamado TEMP_Heretic (que se sospecha que es de origen chino). Según ellos, la campaña de ataques se desarrolló en dos fases con varias oleadas. La fase inicial era una etapa de reconocimiento y consistía en correos electrónicos diseñados para comprobar simplemente si el objetivo recibía y abría los mensajes. La segunda fase se llevó a cabo en varias oleadas, con correos electrónicos que invitaban a los objetivos a hacer clic en un enlace malicioso creado por el atacante. Si los usuarios accedían a la URL, eran llevados a un sitio web remoto donde un código JavaScript malicioso ejecutaba un ataque de secuencias de comandos entre sitios (XSS) contra la aplicación de correo web Zimbra de su organización. (véase el diagrama siguiente).

Este fallo se encontró en las recientes versiones 8.8.15 P29 y P30 de los clientes de correo web de Zimbra. La versión 9.0.0 no está afectada por el fallo, señala Volexity. La brecha da a los atacantes la posibilidad de robar las cookies de sesión. Con esta información, pueden entrar en una cuenta de Zimbra para robar correos electrónicos y archivos adjuntos, pero también enviar mensajes de phishing a los contactos del usuario e invitarles a descargar malware.