Dependencias de gobierno en riesgo por vulnerabilidades no corregidas: SILIKN

Facebook
Twitter
LinkedIn
WhatsApp

  • Miles de empresas y millones de usuarios confían en Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y videoconferencias.

Por Víctor Ruiz*

EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro

de la Fundación OWASP.

El 1 de octubre de 2024, se informó que ciberdelincuentes están explotando activamente una grave vulnerabilidad de ejecución remota de código en el servidor SMTP de Zimbra, lo que ha generado una mayor urgencia para que las organizaciones afectadas apliquen los parches de seguridad a las instancias vulnerables de manera inmediata.

Esta vulnerabilidad, registrada como CVE-2024-45519, afecta al componente de publicación de diarios de Zimbra, utilizado para el registro y archivo de correos electrónicos. La falla permite que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema comprometido, tomando control total del mismo. Aunque Zimbra lanzó actualizaciones para las versiones vulnerables la semana anterior, hasta el momento no se han revelado detalles técnicos sobre la naturaleza del fallo.

Este tipo de vulnerabilidad no es nueva. El 5 de noviembre de 2022, la unidad de investigación de SILIKN emitió una alerta después de detectar que diversas dependencias e instituciones gubernamentales en México utilizaban Zimbra para sus servicios de correo, calendario, contactos y documentos. La falta de gestión adecuada de las vulnerabilidades permitió que el grupo hacktivista Guacamaya extrajera 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena) en un ataque divulgado en octubre de 2022.

Posteriormente, el 3 de febrero de 2023, SILIKN emitió una nueva advertencia sobre la actividad del grupo cibercriminal Lazarus, que estaba enfocando ataques en sistemas que usaban Zimbra.

Más recientemente, el 23 de marzo de 2024, se descubrió que un atacante había explotado una vulnerabilidad en Zimbra para infiltrarse en un servidor de la Universidad Nacional Autónoma de México (UNAM), logrando extraer 907.75 GB de correos electrónicos pertenecientes al Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS).

Ante este panorama, la unidad de investigación de SILIKN reiteró su llamado a las organizaciones para que revisen sus activos tecnológicos, fortalezcan sus controles de seguridad, y apliquen de inmediato los parches y actualizaciones proporcionados por Zimbra. La falta de gestión adecuada de estas vulnerabilidades podría convertir a dichas organizaciones en el próximo blanco de grupos cibercriminales y amenazas persistentes avanzadas, como APT29, Lazarus, TA473 o Hafnium, que ya están explotando activamente estas fallas.

Frente a las recientes vulnerabilidades detectadas en Zimbra, la unidad de investigación de SILIKN ha emitido una alerta, señalando que varias dependencias están en posible alto riesgo, entre ellas:

1. Alcaldía de Tláhuac de la Ciudad de México

2. Alcaldía de Tlalpan de la Ciudad de México

3. Alcaldía de Xochimilco de la Ciudad de México

4. Alcaldía Iztacalco de la Ciudad de México

5. Alcaldía La Magdalena Contreras de la Ciudad de México

6. Auditoría Superior del Estado de Nuevo León

7. Ayuntamiento de Morelia, Michoacán

8. Caja de Previsión de la Policía Auxiliar de la Ciudad de México

9. Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán

10. Comisión Estatal de Servicios Públicos de Tijuana

11. Comisión Nacional de Vivienda

12. Comisión Nacional para el Conocimiento y Uso de la Biodiversidad

13. Congreso de la Ciudad de México

14. Consejería Jurídica y de Servicios Legales del Gobierno de la Ciudad de México

15. Consejo de Ciencia y Tecnología del Estado de Tabasco

16. Consejo Estatal de Seguridad Pública en el Estado de Campeche

17. Consejo Nacional de Humanidades, Ciencias y Tecnologías

18. DIF Gobierno de la Ciudad de México

19. DIF Gobierno del Estado de Sonora

20. Dirección de Seguridad Pública Municipal de Torreón

21. Dirección General De Presupuesto de la UNAM

22. Estado de San Luis Potosí

23. Facultad de Ingeniería de la UNAM

24. Fideicomiso Fondo Nacional de Fomento Ejidal

25. Fiscalía del Estado de Tabasco

26. Fiscalía General de Justicia del Estado de México

27. Fiscalía General de Justicia del Estado de Zacatecas

28. Fiscalía General del Estado de Colima

29. Fondo para el Desarrollo Social de la Ciudad de México

30. Gobierno de Chiapas

31. Gobierno de la Ciudad de México

32. Gobierno del Estado de Jalisco

33. Gobierno del Estado de Michoacán

34. Gobierno del Estado de Tlaxcala

35. Gobierno Municipal de Chihuahua

36. Gobierno Municipal de Irapuato

37. Guardia Nacional

38. Instituto de Becas y Crédito Educativo del Estado de Sonora

39. Instituto de Control Vehicular

40. Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas de la UNAM

41. Instituto de Seguridad Social del Estado de Tabasco

42. Instituto Nacional de Enfermedades Respiratorias

43. Instituto Nacional de Psiquiatría

44. Instituto Nacional de Rehabilitación

45. Instituto Nacional del Suelo Sustentable

46. Instituto Potosino de la Juventud

47. Junta Municipal de Agua y Saneamiento de Ciudad Juárez

48. Municipio de Tecámac del Estado de México

49. Organismo Operador de Agua Potable, Alcantarillado y Saneamiento de Morelia

50. Órgano Superior de Fiscalización del Estado de Tabasco

51. Pase Turístico — Secretaría del Medio Ambiente

52. Poder Judicial del Estado de México

53. Poder Judicial del Estado de San Luis Potosí

54. Policía Auxiliar de la Ciudad de México

55. Procuraduría Federal de la Defensa del Trabajo

56. Radio Educación — Secretaría de Cultura

57. Red de Transporte de Pasajeros de la Ciudad de México

58. Secretaría de Administración del Gobierno de Zacatecas

59. Secretaría de Administración y Finanzas de la Ciudad de México

60. Secretaría de Desarrollo Agrario, Territorial y Urbano

61. Secretaría de Educación del Gobierno de Chiapas

62. Secretaría de Educación y Cultura del Gobierno de Colima

63. Secretaría de Finanzas del Estado de Tlaxcala

64. Secretaría de la Contraloría General de la Ciudad de México

65. Secretaría de la Defensa Nacional

66. Secretaría de Marina

67. Secretaría de Movilidad de la Ciudad de México

68. Secretaría de Protección y Seguridad Ciudadana del Estado de Campeche

69. Secretaría de Salud de Coahuila

70. Secretaría de Salud de Jalisco

71. Secretaría de Salud de la Ciudad de México

72. Secretaría de Salud del Gobierno del Estado de Sonora

73. Secretaría de Seguridad Pública del Estado de Guerrero

74. Secretaría Ejecutiva del Sistema Nacional Anticorrupción

75. Secretaría Municipal de Seguridad Pública y Tránsito de Cancún, Quintana Roo

76. Servicios de Educación Pública de Nayarit

77. Servicios de Salud Pública de la Ciudad de México

78. Sistema de Aguas de la Ciudad de México

79. Sistema de Información y Comunicación del Estado de Puebla

80. Sistema Informático de Recibos de Nómina del Poder Judicial del

81. Subdirección de Asuntos Escolares del Posgrado de la UNAM

82. Unidad Estatal de Telecomunicaciones del Estado de Guerrero

83. Universidad Autónoma Agraria Antonio Narro

Miles de empresas y millones de usuarios confían en Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y videoconferencias. Esta popularidad ha convertido a Zimbra en un objetivo atractivo para los ciberdelincuentes. Un ejemplo reciente es el descubrimiento de cuatro actores de amenazas persistentes avanzadas (APT) de origen chino que explotó una vulnerabilidad de día cero en Zimbra (CVE-2023-37580) para atacar agencias gubernamentales a nivel mundial.

Aunque Zimbra solucionó la vulnerabilidad en julio de 2023, los ataques ya habían comenzado un mes antes. Posteriormente, en febrero de este año, se descubrió que el grupo Lazarus, de Corea del Norte, intentó sustraer información confidencial de organizaciones de los sectores salud y energía, aprovechando servidores Zimbra que no contaban con las actualizaciones de seguridad necesarias.

VICTOR RUIZ

*Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity (CC).

Compartir esta noticia

Facebook
Twitter
LinkedIn
WhatsApp
Email