CSIRT Panamá Aviso 2022-ago-17 Múltiples vulnerabilidades en Zimbra Collaboration Suite (ZCS).
Gravedad: Alta
Fecha de publicación: agosto 17, 2022
Última revisión: agosto 17, 2022
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-zimbra-collaboration-suite-zcs
Sistemas Afectados:
Zimbra Collaboration Suite (ZCS).
I. Descripción
CISA y MS-ISAC advierten de la explotación activa de múltiples vulnerabilidades en Zimbra Collaboration Suite (ZCS).
II. Detalle
Un atacante, no autenticado, podría inyectar comandos arbitrarios en una instancia de ZCS para sobrescribir entradas arbitrarias en la caché. De esta forma, podría obtener las credenciales de la cuenta de correo electrónico de ZCS en forma de texto claro, sin ninguna interacción del usuario. Con las credenciales válidas de la cuenta de correo electrónico en una organización que no aplique la autenticación multifactor (MFA), el atacante podría llevar a cabo un phishing selectivo, la ingeniería social y los ataques de compromiso del correo electrónico comercial (BEC) contra la organización comprometida. Además, también podría utilizar las credenciales de cuentas válidas para abrir webshells y mantener un acceso persistente. Se ha asignado el identificador CVE-2022-27924 para esta vulnerabilidad.
Una vulnerabilidad en la funcionalidad mboximport podría permitir a un atacante, autenticado, cargar archivos arbitrarios en el sistema y recorrer directorios. Se ha asignado el identificador CVE-2022-27925 para esta vulnerabilidad.
Una evasión de autenticación en la función MailboxImportServlet podría permitir a un atacante, no autentificado, acceder a una instancia de ZCS vulnerable. Se ha asignado el identificador CVE-2022-37042 para esta vulnerabilidad.
Una vulnerabilidad en RARLAB UnRAR, en Linux y UNIX, podría permitir a un atacante escribir en los archivos durante una operación de extracción (desempaquetado), mediante el envío de un correo electrónico con un archivo RAR malicioso. Se ha asignado el identificador CVE-2022-30333 para esta vulnerabilidad.
Una vulnerabilidad de XSS podría permitir a un atacante robar archivos de cookies de sesión. Se ha asignado el identificador CVE-2022-24682 para esta vulnerabilidad.
III. Referencia a soluciones, herramientas e información
Actualizar a la última versión de ZCS, disponibles en sus avisos de seguridad y alertas.
Puede consultar las medidas de mitigación publicadas por Volexity.
Adicionalmente, se recomienda aplicar el siguiente listado de buenas prácticas:
Implementar y mantener un plan de respuesta a incidentes.
Implementar un programa de gestión de vulnerabilidades, donde se priorice la gestión de parches y el escaneo de vulnerabilidades conocidas.
Configurar y proteger adecuadamente los dispositivos de red conectados a Internet:
no exponer las interfaces de gestión en Internet,
desactivar los puertos y protocolos de red no utilizados,
desactivar o eliminar los servicios y dispositivos de red que no se utilicen.
Seguir el principio de confianza cero:
limitar o bloquear los movimientos laterales con microsegmentación de redes y funciones,
aplicar la autenticación multifactor (MFA) en todos los usuarios y conexiones VPN,
restringir el acceso, en las redes, a los dispositivos y usuarios de confianza.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124