Más de 10,000 servidores Zimbra vulnerables a ataques XSS en curso

-

Más de 10,000 instancias de Zimbra Collaboration Suite están expuestas a ataques que explotan una vulnerabilidad de scripting entre sitios (XSS). La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha alertado sobre la explotación activa de esta vulnerabilidad.

Más de 10,000 instancias de Zimbra Collaboration Suite (ZCS) expuestas en línea son vulnerables a ataques en curso que explotan una vulnerabilidad de scripting entre sitios (XSS), según la organización de seguridad sin fines de lucro Shadowserver. Zimbra es una popular suite de software de correo electrónico y colaboración utilizada por cientos de millones de personas en todo el mundo, incluyendo numerosas agencias gubernamentales y miles de empresas.

La vulnerabilidad, rastreada como CVE-2025-48700, afecta a ZCS 8.8.15, 9.0, 10.0 y 10.1, y puede permitir a atacantes no autenticados acceder a información sensible tras ejecutar JavaScript arbitrario dentro de la sesión del usuario. Synacor lanzó parches de seguridad para abordar la vulnerabilidad en junio de 2025, cuando advirtió que las explotaciones de CVE-2025-48700 no requieren interacción del usuario y pueden ser desencadenadas cuando un usuario visualiza un mensaje de correo electrónico maliciosamente elaborado en la interfaz clásica de Zimbra.

El lunes, la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) marcó CVE-2025-48700 como abusada en ataques activos y la añadió a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basado en evidencia de explotación activa. La agencia de ciberseguridad de EE.UU. también ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) asegurar sus servidores Zimbra en un plazo de tres días, para el 23 de abril.

El viernes, el vigilante de seguridad en Internet Shadowserver también advirtió que más de 10,500 servidores Zimbra expuestos en línea permanecen sin parches, la mayoría de ellos en Asia (3,794) y Europa (3,793). Aunque la CISA no compartió detalles sobre los ataques de CVE-2025-48700, otra vulnerabilidad XSS (rastreada como CVE-2025-66376 y parcheada a principios de noviembre) fue explotada por los hackers militares respaldados por el estado APT28 (también conocido como Fancy Bear, Strontium) en ataques de phishing dirigidos a entidades gubernamentales ucranianas desde enero.

Esta campaña de phishing (codenombrada Operación GhostMail por los investigadores de seguridad de Seqrite Labs) también apuntó a la Agencia Estatal de Hidrología de Ucrania (una entidad de infraestructura crítica bajo el Ministerio de Infraestructura que proporciona apoyo de navegación, marítimo y hidrográfico) y entregó una carga útil de JavaScript ofuscada cuando los destinatarios abrieron los correos electrónicos maliciosos en sesiones de webmail Zimbra vulnerables. "El correo electrónico de phishing no tiene archivos adjuntos maliciosos, ni enlaces sospechosos, ni macros. Toda la cadena de ataque vive dentro del cuerpo HTML de un solo correo electrónico, no hay archivos adjuntos maliciosos", dijo Seqrite Labs en ese momento.

Las vulnerabilidades de Zimbra son frecuentemente explotadas en ataques y han sido utilizadas para violar miles de servidores de correo electrónico vulnerables en los últimos años. Por ejemplo, los ciberespías rusos Winter Vivern utilizaron otro exploit XSS reflejado para violar portales de webmail Zimbra en febrero de 2023 y robar correos electrónicos enviados y recibidos por organizaciones e individuos alineados con la OTAN, incluyendo personal militar, funcionarios gubernamentales y diplomáticos. Más recientemente, en octubre de 2024, las agencias de ciberseguridad de EE.UU. y el Reino Unido advirtieron que los hackers APT29 (también conocidos como Cozy Bear, Midnight Blizzard) vinculados al Servicio de Inteligencia Extranjera de Rusia (SVR) estaban apuntando a servidores Zimbra vulnerables "a gran escala", explotando un problema de seguridad que había sido previamente abusado para robar credenciales de cuentas de correo electrónico.

La inteligencia artificial encadenó cuatro días cero en un solo exploit que eludió tanto los sandboxes del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits.

Fuente:
https://www.bleepingcomputer.com/news/security/cisa-says-zimbra-flaw-now-exploited-over-10k-servers-vulnerable/

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

ANCI investiga presunta filtración masiva de datos que afectaría a la Tesorería General de la República, al Registro Civil y a la ClaveÚnica

-
Santiago, 2 de mayo de 2026. — La Agencia Nacional de Ciberseguridad (ANCI) confirmó que se encuentra analizando reportes de una presunta actividad maliciosa que comprometería sistemas de organismos del Estado y operadores de telecomunicaciones en Chile, luego de que la firma de inteligencia cibernética VECERT Analyzer alertara públicamente sobre una brecha de alto impacto dirigida contra la Tesorería General de la República (TGR), el Registro Civil y servicios asociados a la ClaveÚnica. El actor de amenaza identificado bajo el alias "rutify" habría difundido en grupos especializados de Telegram registros que sugieren la filtración de datos sensibles durante las últimas 48 horas, según la alerta original publicada por VECERT en su cuenta oficial de X. Qué denuncia el reporte de VECERT De acuerdo con el análisis técnico difundido por la firma, las muestras filtradas corresponderían a solicitud...
Leer más

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más