(https://i.imgur.com/uj0aOu1.jpeg)
El equipo de seguridad de Zimbra ha emitido una alerta urgente para que todos los administradores actualicen inmediatamente sus instalaciones de Zimbra Collaboration Suite (ZCS) tras el descubrimiento de una vulnerabilidad crítica que afecta al Cliente Web Clásico (Classic Web Client). La falla permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenado, un tipo de vulnerabilidad ampliamente utilizado por ciberdelincuentes y grupos de amenazas avanzadas para comprometer cuentas de correo electrónico, robar información confidencial y obtener acceso no autorizado a sistemas corporativos.
La actualización de seguridad llega con el lanzamiento de Zimbra 10.1.19, versión que corrige este problema antes de que pueda convertirse en una amenaza de gran escala. Aunque la vulnerabilidad todavía no cuenta con un identificador CVE, la compañía ha enfatizado que los clientes que continúan utilizando la interfaz Classic Web Client deben instalar el parche lo antes posible para reducir el riesgo de compromiso.
¿Qué es la vulnerabilidad que afecta a Zimbra?La falla descubierta corresponde a una vulnerabilidad de Cross-Site Scripting (XSS) almacenado, una técnica mediante la cual un atacante consigue insertar código malicioso dentro del contenido de un correo electrónico especialmente manipulado.
Cuando la víctima abre dicho mensaje utilizando el Cliente Web Clásico, el código se ejecuta automáticamente en el navegador del usuario con los privilegios de la sesión activa.
Este tipo de ataques puede parecer sencillo, pero sus consecuencias pueden ser extremadamente graves, ya que permite a los atacantes:
- Robar cookies de autenticación.
- Secuestrar sesiones activas.
- Acceder al contenido completo del buzón de correo.
- Obtener información sobre la configuración de la cuenta.
- Ejecutar acciones en nombre del usuario sin su consentimiento.
- Facilitar ataques posteriores dentro de la organización.
Al tratarse de una vulnerabilidad almacenada, el código malicioso permanece incrustado en el mensaje hasta que es abierto por la víctima, aumentando considerablemente las probabilidades de éxito del ataque.
¿Quiénes están afectados?El problema impacta exclusivamente a los usuarios que utilizan el Cliente Web Clásico de Zimbra, también conocido como Classic UI.
Esta interfaz, basada en tecnología Ajax, continúa siendo ampliamente utilizada debido a su rapidez y menor consumo de recursos frente al cliente web moderno, especialmente en organizaciones que administran grandes volúmenes de correo electrónico.
Zimbra aclaró que quienes utilizan exclusivamente la interfaz moderna no se encuentran afectados por esta vulnerabilidad específica.
Zimbra recomienda actualizar inmediatamenteCitarLa compañía fue clara en su comunicado de seguridad:
"Cualquier cliente que utilice el Cliente Web Clásico debería actualizar a ZCS v10.1.19 lo antes posible, ya que este problema solo afecta a los usuarios del Cliente Web Clásico."
La recomendación oficial consiste en instalar Zimbra Collaboration Suite 10.1.19 en todos los servidores afectados para eliminar completamente la vulnerabilidad.
Aunque hasta el momento no existen confirmaciones públicas de explotación activa, el origen del reporte ha incrementado considerablemente la preocupación dentro de la comunidad de ciberseguridad.
Google detectó la vulnerabilidadUno de los aspectos más relevantes del incidente es que la vulnerabilidad fue descubierta por el Threat Analysis Group (TAG) de Google.
Este reconocido equipo de investigación se especializa en detectar campañas avanzadas dirigidas por grupos de amenazas patrocinados por Estados, siendo responsable de identificar numerosos ataques zero-day utilizados contra:
- Gobiernos.
- Periodistas.
- Diplomáticos.
- Activistas.
- Organizaciones internacionales.
- Empresas estratégicas.
Cuando TAG informa una vulnerabilidad, normalmente existe una elevada probabilidad de que esta pueda ser utilizada en operaciones sofisticadas de espionaje.
Aunque Google no ha confirmado una explotación activa en este caso, el historial del grupo convierte esta advertencia en un asunto de máxima prioridad.
Zimbra ha sido un objetivo frecuente de grupos APT rusosDurante los últimos años, Zimbra Collaboration Suite ha sido uno de los principales objetivos de grupos de ciberespionaje vinculados a Rusia.
Su amplia presencia en organismos gubernamentales, instituciones académicas, empresas y organizaciones internacionales la convierte en un objetivo extremadamente atractivo para campañas de inteligencia.
Winter Vivern explotó Zimbra en 2023En febrero de 2023, el grupo Winter Vivern, vinculado a intereses rusos, aprovechó una vulnerabilidad XSS reflejada para comprometer portales web de Zimbra.
Su objetivo consistía en robar correos electrónicos pertenecientes a:
- Funcionarios gubernamentales.
- Personal diplomático.
- Integrantes de la OTAN.
- Militares.
- Organizaciones internacionales.
Los ataques demostraron la eficacia de explotar vulnerabilidades web aparentemente simples para acceder a información altamente sensible.
APT29 lanzó ataques masivos contra ZimbraEn octubre de 2024, las agencias de ciberseguridad de Estados Unidos y Reino Unido emitieron una alerta conjunta sobre una campaña masiva atribuida al grupo APT29, también conocido como Midnight Blizzard o Cozy Bear.
Según las autoridades, este grupo, asociado al Servicio de Inteligencia Exterior de Rusia (SVR), explotó servidores vulnerables de Zimbra para obtener credenciales de correo electrónico y comprometer infraestructuras críticas.
La campaña afectó a múltiples organizaciones alrededor del mundo y confirmó que Zimbra continúa siendo uno de los objetivos favoritos de los grupos de espionaje patrocinados por Estados.
APT28 también aprovechó fallos XSSLos ataques no terminaron ahí.
En marzo de 2025, la CISA ordenó a todas las agencias federales estadounidenses aplicar inmediatamente los parches correspondientes para corregir la vulnerabilidad CVE-2025-66376, otra falla XSS presente en Zimbra.
Esta vulnerabilidad estaba siendo explotada por APT28, también conocido como Fancy Bear, grupo asociado al servicio de inteligencia militar ruso.
Los ataques se dirigieron principalmente contra entidades gubernamentales ucranianas, evidenciando nuevamente cómo las vulnerabilidades de correo electrónico se han convertido en una herramienta clave dentro del ciberespionaje moderno.
Más de 10.500 servidores seguían siendo vulnerablesLa preocupación sobre la seguridad de Zimbra aumentó aún más cuando, en abril de 2025, la organización Shadowserver Foundation reveló que más de 10.500 servidores Zimbra expuestos a Internet seguían siendo vulnerables a otra falla XSS identificada como CVE-2025-48700.
Este dato refleja una realidad preocupante: muchas organizaciones continúan retrasando la instalación de actualizaciones críticas, dejando sus plataformas de correo expuestas durante semanas o incluso meses después de la publicación de los parches.
Los ciberdelincuentes suelen aprovechar precisamente estas demoras para automatizar ataques masivos contra servidores sin actualizar.
Cómo proteger los servidores ZimbraAnte este nuevo escenario de amenazas, los administradores de sistemas deben adoptar medidas inmediatas para minimizar el riesgo de explotación:
- Actualizar cuanto antes a Zimbra Collaboration Suite 10.1.19.
- Identificar si la organización continúa utilizando el Cliente Web Clásico.
- Revisar los registros del servidor en busca de actividad sospechosa.
- Implementar autenticación multifactor (MFA) para todas las cuentas.
- Mantener un programa continuo de gestión de vulnerabilidades.
- Capacitar a los usuarios para identificar correos electrónicos sospechosos.
- Realizar auditorías periódicas de seguridad sobre los servicios expuestos a Internet.
En fin...La nueva vulnerabilidad crítica en el Cliente Web Clásico de Zimbra vuelve a demostrar que las plataformas de correo electrónico siguen siendo uno de los principales objetivos de los grupos de amenazas avanzadas y del cibercrimen organizado. Aunque la falla aún no dispone de un identificador CVE ni se ha confirmado su explotación en campañas activas, el hecho de haber sido reportada por el Threat Analysis Group de Google y el historial de ataques contra Zimbra convierten esta actualización en una prioridad absoluta.
Las organizaciones que aún utilizan el Classic Web Client deben aplicar de inmediato la versión Zimbra 10.1.19, reforzar sus controles de seguridad y mantener una política de actualización constante. En un contexto donde los actores estatales y los ciberdelincuentes explotan vulnerabilidades con rapidez, retrasar la instalación de parches puede traducirse en el robo de información confidencial, el compromiso de cuentas corporativas y graves incidentes de seguridad.
Fuente: https://www.bleepingcomputer.com/