Vulnerabilidad critica en RCE en Zimbra

Existe una vulnerabilidad critica de ejecución remota de código (RCE) en Zimbra Collaboration Suite (ZCS) versión 9.0, identificada como CVE-2024-45519. La vulnerabilidad permite a los atacantes no autenticados ejecutar comandos arbitrarios de forma remota aprovechando las debilidades del servicio SMTP PostJournal de Zimbra.

¿Cuál es la amenaza?

Esta vulnerabilidad basada en SMTP permite a los atacantes remotos o no autenticados enviar solicitudes especialmente diseñadas al servidor Zimbra, lo que lleva a la ejecución de comandos a nivel de sistema. Los atacantes pueden cargar y ejecutar archivos maliciosos sin autenticación, lo que puede resultar en el robo de datos, el control del servidor o una mayor propagación de Malware. La explotación podría comprometer ampliamente los sistemas críticos.

¿Por qué es de relevancia?

La explotación del servicio PostJournal permite la ejecución remota de comandos sin credenciales previas, lo que reduce significativamente la barrera para los atacantes. Esto plantea un riesgo sustancial de robo de datos confidenciales y control de todo el sistema, por lo que es urgente que las organizaciones implementen mitigaciones.

¿Cuál es el riesgo?

Las organizaciones que utilizan ZCS 9.0 corren un alto riesgo, en particular si sus servicios Zimbra están expuestos a internet. La explotación puede llevar al control total de sistema, lo que permite a los atacantes robar correos electrónicos, acceder a datos confidenciales o instalar puertas traseras persistentes. Una explotación exitosa también podría facilitar el movimiento lateral dentro de infraestructuras de correo electrónico corporativas o gubernamentales mas grandes. El mínimo esfuerzo requerido para la explotación, debido a la falta de autenticación, significa que los sistemas sin parches son especialmente vulnerables, lo que presenta un riesgo significativo para las organizaciones que no han aplicado las actualizaciones de seguridad necesarias. La superficie de ataque incluye el servidor de correo y los sistemas potencialmente interconectados.

Recomendaciones

Se recomienda realizar las siguientes acciones para mitigar el riesgo:

• Aplique los parches publicados por Zimbra de inmediato.
• Deshabilite o limite el acceso externo al servicio SMTP en los servidores de Zimbra, asegurándose de que solo se pueda acceder a él a través de redes confiables o VPN.
• Implemente un monitoreo detallado en los servidores de cargas de archivos no autorizados, especialmente en el servicio de SMTP.
• Realice copias de seguridad del correo electrónico y de los datos críticos con regularidad para reducir el impacto de una posible vulneración.