Se ha reportado un aviso de seguridad sobre una vulnerabilidad explotada activamente que afecta a Zimbra 9 que permite la utilización de una novedosa técnica de phishing, que permitiría a un atacante remoto no autenticado realizar ataques del tipo Cross-Site Scripting Reflejado (XSS) utilizando el web mail del servidor Zimbra vulnerable. Si bien esta vulnerabilidad no es considerada como 0-day, existen muchos servidores que continúan desactualizados y pueden verse afectados por este ataque.
Software afectado:
- Zimbra Collaboration (ZCS), versión 9.0.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/04/BOL-CERT-PY-2023-14-Explotacion-activa-de-vulnerabilidad-cross-site-scripting-XSS-en-Zimbra.pdf
- https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability
- https://www.techrepublic.com/article/phishing-ta473-us-nato-officials/
- https://www.bleepingcomputer.com/news/security/winter-vivern-hackers-exploit-zimbra-flaw-to-steal-nato-emails/
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-zimbra-bug-exploited-in-attacks-against-nato-countries/
- https://nvd.nist.gov/vuln/detail/CVE-2022-27926
- https://wiki.zimbra.com/wiki/Security_Center
- https://www.cert.gov.py/noticias/tecnica-de-phishing-en-adjuntos-html/
- https://www.cert.gov.py/wp-content/uploads/2022/12/GUIA-Configuracion-del-servidor-Zimbra_final3.pdf