CISA ha emitido una advertencia urgente con respecto a una vulnerabilidad crítica en la suite de colaboración Zimbra de Synacor (ZCS) que se está explotando activamente en los ataques cibernéticos.
La vulnerabilidad, rastreada como CVE-2019-9621, plantea riesgos significativos para las organizaciones que utilizan la popular plataforma de correo electrónico y colaboración.
Control de llave
1. CISA Alertas sobre un defecto SSRF (CVE-2019-9621) en Zimbra ZCS, explotado activamente por los atacantes.
2. El defecto permite el acceso no autorizado a datos sensibles internos o de nubes a través de ProxyServlet.
3. Correcciones urgentes o interrupción del producto requerida para el 28 de julio de 2025.
4. Siga los avisos de Zimbra y la guía de CISA para proteger los sistemas.
Vulnerabilidad de Zimbra SSRF (CVE-2019-9621)
La vulnerabilidad se centra en una falla de falsificación de solicitud del lado del servidor (SSRF) dentro del componente ProxyServlet de Zimbra Collaboration Suite.
Esta debilidad de seguridad permite a los atacantes manipular el servidor para que realice solicitudes no autorizadas a recursos internos o externos, lo que puede exponer datos confidenciales y comprometer la seguridad de la red.
La vulnerabilidad se ha clasificado bajo CWE-918 (falsificación de solicitud del lado del servidor) y CWE-807 (dependencia de insumos no confiables en una decisión de seguridad), lo que indica la gravedad de las violaciones de límites de confianza involucradas.
CISA agregó esta vulnerabilidad a su conocido catálogo de vulnerabilidades explotadas (KEV) el 7 de julio de 2025, señalando la explotación activa en la naturaleza.
La decisión de la agencia de incluir CVE-2019-9621 en el catálogo de KEV refleja evidencia creíble de que los actores de amenaza están aprovechando esta vulnerabilidad para comprometer los sistemas dirigidos.
Si bien la conexión con las campañas de ransomware sigue siendo desconocida, la naturaleza SSRF de la vulnerabilidad hace que sea particularmente atractiva para los atacantes que buscan establecer un punto de apoyo inicial en entornos empresariales.
El análisis técnico revela que la vulnerabilidad del componente ProxyServlet permite a los actores maliciosos elaborar solicitudes especialmente diseñadas que eviten los controles de seguridad y accedan a los servicios internos.
A través de la explotación de SSRF, los atacantes pueden escanear redes internas, acceder a los servicios de metadatos e interactuar con los sistemas de back -end que deben protegerse del acceso externo.
Este tipo de vulnerabilidad es particularmente peligroso en entornos en la nube donde los servicios de metadatos a menudo contienen tokens de autenticación confidenciales y datos de configuración.
La clasificación de la vulnerabilidad bajo CWE-918 destaca cómo los atacantes pueden abusar de la funcionalidad del servidor para realizar solicitudes en su nombre, utilizando efectivamente el sistema comprometido como un proxy para alcanzar recursos inaccesibles.
Factores de riesgo Productos afectados por la cola de colaboración Zimbra Side (ZCS) Impacto Solicitud del lado del servidor Finguar (SSRF) Explotación de requisitos previos debe tener acceso para enviar solicitudes diseñadas a ZCS ProxyServlet CVSS 3.1 Score6.1 (Medio)
Mitigaciones
CISA ha establecido una fecha límite de cumplimiento del 28 de julio de 2025, lo que requiere que las agencias federales implementen las mitigaciones necesarias o suspendan el uso de los sistemas Zimbra afectados.
Las organizaciones están ordenadas a aplicar las mitigaciones proporcionadas por el proveedor de inmediato y seguir la orientación de BOD 22-01 aplicable para los servicios en la nube.
Para sistemas donde las mitigaciones efectivas no están disponibles, CISA recomendado Descontinuar el uso del producto por completo.
Los administradores del sistema deben consultar los avisos de seguridad oficiales de Zimbra y la base de datos de vulnerabilidad nacional para obtener una guía integral de remediación.
Las organizaciones que utilizan el suite de colaboración Zimbra deben priorizar los esfuerzos de evaluación y remediación inmediata para evitar un posible compromiso a través de esta vulnerabilidad explotada activamente.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
.webp?w=1600&resize=1600,900&ssl=1){kind=link}