Recientemente se han reportado múltiples incidentes de seguridad que derivan en la fuga de información sensible, principalmente a través de la explotación de vulnerabilidades presentes en servidores de correo como Zimbra y Microsoft Exchange, siendo éstos software muy utilizados en la región, y particularmente en Paraguay. Este tipo de técnicas están siendo utilizada por grupos hacktivistas principalmente en la región de Latinoamérica que apuntan como objetivo organizaciones gubernamentales, policiales y militares como los casos que cobraron relevancia entre ellos el caso de SEDENA (MÉXICO) y Estado Mayor Conjunto (CHILE).
En todos estos incidentes, los atacantes aprovechan vulnerabilidades ya conocidas, en servidores que no han aplicado los parches correspondientes. En los últimos tiempos se han publicado múltiples vulnerabilidades críticas, con diversos tipos de consecuencias o impactos, que van desde server-side request forgery (SSRF), escalamiento de privilegios hasta ejecución remota de código (RCE).
Información adicional:
- BOL-CERT-PY-2022-39-Explotacion-masiva-de-multiples-vulnerabilidades-en-servidores-de-correo.pdf
- https://www.cert.gov.py/wp-content/uploads/2022/10/BOL-CERT-PY-2022-38-Vulnerabilidades-de-dia-cero-en-Microsoft-Exchange-Server.pdf
- https://twitter.com/hiramcoop/status/1576614441453780994?t=-1s59A5Y-jXKFgnBaLOu9Q&s=08
- https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- https://twitter.com/Cronup_CyberSec/status/1575601009753145344
- https://www.cronup.com/alerta-de-seguridad-nueva-vulnerabilidad-critica-para-microsoft-exchange-en-explotacion-activa-0-day-rce/
- https://nvd.nist.gov/vuln/detail/CVE-2022-37042
- https://nvd.nist.gov/vuln/detail/CVE-2022-41082
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31