- Miles de empresas y millones de usuarios confían en Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y videoconferencias.
Por Víctor Ruiz*
EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro
de la Fundación OWASP.
El 1 de octubre de 2024, se informó que ciberdelincuentes están explotando activamente una grave vulnerabilidad de ejecución remota de código en el servidor SMTP de Zimbra, lo que ha generado una mayor urgencia para que las organizaciones afectadas apliquen los parches de seguridad a las instancias vulnerables de manera inmediata.
Esta vulnerabilidad, registrada como CVE-2024-45519, afecta al componente de publicación de diarios de Zimbra, utilizado para el registro y archivo de correos electrónicos. La falla permite que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema comprometido, tomando control total del mismo. Aunque Zimbra lanzó actualizaciones para las versiones vulnerables la semana anterior, hasta el momento no se han revelado detalles técnicos sobre la naturaleza del fallo.
Este tipo de vulnerabilidad no es nueva. El 5 de noviembre de 2022, la unidad de investigación de SILIKN emitió una alerta después de detectar que diversas dependencias e instituciones gubernamentales en México utilizaban Zimbra para sus servicios de correo, calendario, contactos y documentos. La falta de gestión adecuada de las vulnerabilidades permitió que el grupo hacktivista Guacamaya extrajera 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena) en un ataque divulgado en octubre de 2022.
Posteriormente, el 3 de febrero de 2023, SILIKN emitió una nueva advertencia sobre la actividad del grupo cibercriminal Lazarus, que estaba enfocando ataques en sistemas que usaban Zimbra.
Más recientemente, el 23 de marzo de 2024, se descubrió que un atacante había explotado una vulnerabilidad en Zimbra para infiltrarse en un servidor de la Universidad Nacional Autónoma de México (UNAM), logrando extraer 907.75 GB de correos electrónicos pertenecientes al Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS).
Ante este panorama, la unidad de investigación de SILIKN reiteró su llamado a las organizaciones para que revisen sus activos tecnológicos, fortalezcan sus controles de seguridad, y apliquen de inmediato los parches y actualizaciones proporcionados por Zimbra. La falta de gestión adecuada de estas vulnerabilidades podría convertir a dichas organizaciones en el próximo blanco de grupos cibercriminales y amenazas persistentes avanzadas, como APT29, Lazarus, TA473 o Hafnium, que ya están explotando activamente estas fallas.
Frente a las recientes vulnerabilidades detectadas en Zimbra, la unidad de investigación de SILIKN ha emitido una alerta, señalando que varias dependencias están en posible alto riesgo, entre ellas:
1. Alcaldía de Tláhuac de la Ciudad de México
2. Alcaldía de Tlalpan de la Ciudad de México
3. Alcaldía de Xochimilco de la Ciudad de México
4. Alcaldía Iztacalco de la Ciudad de México
5. Alcaldía La Magdalena Contreras de la Ciudad de México
6. Auditoría Superior del Estado de Nuevo León
7. Ayuntamiento de Morelia, Michoacán
8. Caja de Previsión de la Policía Auxiliar de la Ciudad de México
9. Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán
10. Comisión Estatal de Servicios Públicos de Tijuana
11. Comisión Nacional de Vivienda
12. Comisión Nacional para el Conocimiento y Uso de la Biodiversidad
13. Congreso de la Ciudad de México
14. Consejería Jurídica y de Servicios Legales del Gobierno de la Ciudad de México
15. Consejo de Ciencia y Tecnología del Estado de Tabasco
16. Consejo Estatal de Seguridad Pública en el Estado de Campeche
17. Consejo Nacional de Humanidades, Ciencias y Tecnologías
18. DIF Gobierno de la Ciudad de México
19. DIF Gobierno del Estado de Sonora
20. Dirección de Seguridad Pública Municipal de Torreón
21. Dirección General De Presupuesto de la UNAM
22. Estado de San Luis Potosí
23. Facultad de Ingeniería de la UNAM
24. Fideicomiso Fondo Nacional de Fomento Ejidal
25. Fiscalía del Estado de Tabasco
26. Fiscalía General de Justicia del Estado de México
27. Fiscalía General de Justicia del Estado de Zacatecas
28. Fiscalía General del Estado de Colima
29. Fondo para el Desarrollo Social de la Ciudad de México
30. Gobierno de Chiapas
31. Gobierno de la Ciudad de México
32. Gobierno del Estado de Jalisco
33. Gobierno del Estado de Michoacán
34. Gobierno del Estado de Tlaxcala
35. Gobierno Municipal de Chihuahua
36. Gobierno Municipal de Irapuato
37. Guardia Nacional
38. Instituto de Becas y Crédito Educativo del Estado de Sonora
39. Instituto de Control Vehicular
40. Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas de la UNAM
41. Instituto de Seguridad Social del Estado de Tabasco
42. Instituto Nacional de Enfermedades Respiratorias
43. Instituto Nacional de Psiquiatría
44. Instituto Nacional de Rehabilitación
45. Instituto Nacional del Suelo Sustentable
46. Instituto Potosino de la Juventud
47. Junta Municipal de Agua y Saneamiento de Ciudad Juárez
48. Municipio de Tecámac del Estado de México
49. Organismo Operador de Agua Potable, Alcantarillado y Saneamiento de Morelia
50. Órgano Superior de Fiscalización del Estado de Tabasco
51. Pase Turístico — Secretaría del Medio Ambiente
52. Poder Judicial del Estado de México
53. Poder Judicial del Estado de San Luis Potosí
54. Policía Auxiliar de la Ciudad de México
55. Procuraduría Federal de la Defensa del Trabajo
56. Radio Educación — Secretaría de Cultura
57. Red de Transporte de Pasajeros de la Ciudad de México
58. Secretaría de Administración del Gobierno de Zacatecas
59. Secretaría de Administración y Finanzas de la Ciudad de México
60. Secretaría de Desarrollo Agrario, Territorial y Urbano
61. Secretaría de Educación del Gobierno de Chiapas
62. Secretaría de Educación y Cultura del Gobierno de Colima
63. Secretaría de Finanzas del Estado de Tlaxcala
64. Secretaría de la Contraloría General de la Ciudad de México
65. Secretaría de la Defensa Nacional
66. Secretaría de Marina
67. Secretaría de Movilidad de la Ciudad de México
68. Secretaría de Protección y Seguridad Ciudadana del Estado de Campeche
69. Secretaría de Salud de Coahuila
70. Secretaría de Salud de Jalisco
71. Secretaría de Salud de la Ciudad de México
72. Secretaría de Salud del Gobierno del Estado de Sonora
73. Secretaría de Seguridad Pública del Estado de Guerrero
74. Secretaría Ejecutiva del Sistema Nacional Anticorrupción
75. Secretaría Municipal de Seguridad Pública y Tránsito de Cancún, Quintana Roo
76. Servicios de Educación Pública de Nayarit
77. Servicios de Salud Pública de la Ciudad de México
78. Sistema de Aguas de la Ciudad de México
79. Sistema de Información y Comunicación del Estado de Puebla
80. Sistema Informático de Recibos de Nómina del Poder Judicial del
81. Subdirección de Asuntos Escolares del Posgrado de la UNAM
82. Unidad Estatal de Telecomunicaciones del Estado de Guerrero
83. Universidad Autónoma Agraria Antonio Narro
Miles de empresas y millones de usuarios confían en Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y videoconferencias. Esta popularidad ha convertido a Zimbra en un objetivo atractivo para los ciberdelincuentes. Un ejemplo reciente es el descubrimiento de cuatro actores de amenazas persistentes avanzadas (APT) de origen chino que explotó una vulnerabilidad de día cero en Zimbra (CVE-2023-37580) para atacar agencias gubernamentales a nivel mundial.
Aunque Zimbra solucionó la vulnerabilidad en julio de 2023, los ataques ya habían comenzado un mes antes. Posteriormente, en febrero de este año, se descubrió que el grupo Lazarus, de Corea del Norte, intentó sustraer información confidencial de organizaciones de los sectores salud y energía, aprovechando servidores Zimbra que no contaban con las actualizaciones de seguridad necesarias.
*Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC).
