La empresa de seguridad Volexity ha advertido que un grupo de hackers chino previamente desconocido está explotando una vulnerabilidad de día 0 en el software colaborativo de Zimbra..
Según estadísticas oficiales, más que 200,000 empresas en 140 países de todo el mundo utilizan Zimbra, incluyendo más de 1,000 instituciones gubernamentales y financieras. Los investigadores escriben que usar la vulnerabilidad de día 0, Los atacantes obtienen acceso a los buzones de correo de las autoridades europeas y de los medios de comunicación..
Los ataques fueron descubiertos a mediados de diciembre., y aunque Volexity notificó a los desarrolladores de Zimbra sobre el error ya en diciembre 16, la compañía aún no ha lanzado un parche.
Los ataques se dividieron en dos etapas.. Inicialmente, Los piratas informáticos enviaron un correo electrónico inofensivo a las víctimas para determinar si las cuentas correctas estaban activas y si los usuarios abrirían correos electrónicos sospechosos de personas desconocidas..
El ataque real sólo ocurrió con un segundo correo electrónico., en el que los hackers incluyeron un enlace. Si el usuario accedió a esta URL, fueron llevados a un sitio de piratas informáticos donde un código JavaScript malicioso realizó un ataque XSS al correo web de Zimbra en la organización de la víctima..
La vulnerabilidad funciona contra las versiones de los clientes de correo web Zimbra. 8.8.15 P29 y P30 y permite robar cookies de sesión de Zimbra. Estos archivos permiten a los piratas informáticos conectarse a la cuenta Zimbra de otra persona, desde donde obtienen acceso al correo electrónico (pueden ver los correos electrónicos de las víctimas’ buzones de correo y robar su contenido), después de lo cual envían mensajes de phishing adicionales a los contactos del usuario, y también ofrecen objetivos para descargar malware..
Si bien actualmente hay más 33,000 Servidores Zimbra en la web, Volexity dice que afortunadamente el día 0 es seguro para Zimbra 9.x (la versión más reciente de la plataforma).
Según la infraestructura del atacante utilizada en estos ataques., Los expertos no pudieron vincular lo que estaba sucediendo con ningún grupo de hackers conocido anteriormente.. Como resultado, la agrupación recibió el nombre TEMP_Heretic. Al mismo tiempo, los expertos informan que «El atacante probablemente sea de origen chino.»
Déjame recordarte que informamos que Hackers chinos atacaron organizaciones estadounidenses y explotaron errores en F5, Citrix y Microsoft Exchange y también eso Los piratas informáticos atacaron los servidores Microsoft Exchange de la Autoridad Bancaria Europea.