La falla XSS CVE-2024-27443 de Zimbra afecta a 129.000 servidores y se sospecha que es Sednit.
Una vulnerabilidad crítica XSS, CVE-2024-27443, en la función CalendarInvite de Zimbra Collaboration Suite está siendo explotada activamente, posiblemente por el grupo de hackers Sednit. Descubra cómo esta falla permite a los atacantes comprometer las sesiones de usuario y por qué es crucial aplicar parches de inmediato.
Se ha descubierto una nueva vulnerabilidad de seguridad en Zimbra Collaboration Suite (ZCS) , una popular plataforma de correo electrónico y colaboración. Este problema, clasificado como CVE-2024-27443, es un tipo de vulnerabilidad de secuencias de comandos entre sitios (XSS) que podría permitir a los atacantes robar información o tomar el control de las cuentas de usuario.
El problema radica específicamente en la función CalendarInvite de la interfaz del cliente web clásico de Zimbra. Se debe a que el sistema no revisa correctamente la información entrante en el encabezado del calendario de los correos electrónicos.
Este descuido crea una oportunidad para un ataque XSS almacenado. Esto significa que un atacante puede incrustar código malicioso en un correo electrónico especialmente diseñado. Cuando un usuario abre este correo electrónico con la interfaz clásica de Zimbra, el código malicioso se ejecuta automáticamente en su navegador web, lo que permite al atacante acceder a su sesión. La gravedad de esta vulnerabilidad se clasifica como media, con una puntuación CVSS de 6,1. Afecta a las versiones 9.0 (parches 1-38) y 10.0 (hasta la 10.0.6) de ZCS.
Según Censys, una empresa de información sobre ciberseguridad, el jueves 22 de mayo de 2025, cuando se publicó el informe original, se expusieron en línea una cantidad significativa de instancias de Zimbra Collaboration Suite que podrían ser vulnerables.
Censys observó un total de 129 131 instancias de ZCS potencialmente vulnerables a nivel mundial, la mayoría de las cuales se encuentran en Norteamérica, Europa y Asia. La gran mayoría de estas instancias están alojadas en servicios en la nube. Además, se identificaron 33 614 hosts Zimbra locales, a menudo vinculados a infraestructura compartida.
La vulnerabilidad se agregó oficialmente al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA el 19 de mayo de 2025, lo que confirma que los atacantes la están utilizando activamente.
Investigadores de seguridad de ESET han sugerido que un conocido grupo de hackers, Sednit (PDF) (también conocido como APT28 o Fancy Bear), podría estar involucrado en su explotación. Los investigadores de ESET sospechan que el grupo Sednit podría estar explotando esta vulnerabilidad como parte de un plan más amplio denominado Operación RoundPress , cuyo objetivo es robar datos de inicio de sesión y mantener el acceso a plataformas de correo web. Si bien actualmente no existe una prueba de concepto (PoC) pública para explotarla, la explotación activa pone de manifiesto la urgencia de que los usuarios tomen medidas.
La buena noticia es que existen parches para esta vulnerabilidad. Zimbra ha solucionado el problema en las versiones 10.0.7 y 9.0.0 de ZCS (Parche 39). Se recomienda encarecidamente a los usuarios que actualicen Zimbra Collaboration Suite a estas versiones parcheadas de inmediato para protegerse contra posibles ataques.
HackRead
