Nueva vulnerabilidad crítica en Zimbra vuelve a poner en la mira a las dependencias del Gobierno mexicano, al tratarse del mismo tipo de falla aprovechada en el ataque a la SEDENA



Por Víctor Ruiz, fundador de SILIKN, CyberOps Associate (CCNA CyberOps), Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.

Zimbra ha exhortado a sus clientes a aplicar de manera urgente las actualizaciones correspondientes para corregir una vulnerabilidad de seguridad crítica que afecta al Cliente Web Clásico de la plataforma y que podría derivar en la ejecución arbitraria de código.

La falla ha sido clasificada como un caso de Cross-Site Scripting (XSS) almacenado, un tipo de vulnerabilidad capaz de permitir que correos electrónicos especialmente diseñados ejecuten scripts maliciosos dentro de la sesión activa de un usuario. Hasta el momento, no se le ha asignado un identificador CVE.

El XSS almacenado — también conocido como XSS persistente — se caracteriza porque el script inyectado queda guardado de forma permanente en los servidores objetivo, generalmente dentro de una base de datos, camuflado como un comentario o una publicación aparentemente inofensiva. Esto provoca que cualquier usuario que acceda a la página comprometida resulte afectado en el momento en que su navegador carga el código JavaScript malicioso.

Aunque Zimbra no ha reportado que esta vulnerabilidad esté siendo explotada activamente en la actualidad, las fallas de tipo XSS en su plataforma han sido, durante años, uno de los objetivos predilectos de los atacantes, quienes han intentado explotarlas desde al menos diciembre de 2021.

Entre otras vulnerabilidades XSS que sí han sido explotadas activamente por actores de amenazas se encuentran CVE-2023–37580 y CVE-2024–27443. Dado su alto potencial de abuso, se recomienda a los usuarios actualizar a la versión 10.1.19 de Zimbra Collaboration Suite para contar con una protección óptima.

Este tipo de vulnerabilidades ocurre cuando una aplicación incorpora datos no confiables dentro de una página web sin someterlos a una validación o codificación adecuada, lo que permite a los atacantes inyectar y ejecutar JavaScript malicioso en los navegadores de sus víctimas. Las consecuencias pueden incluir el secuestro de sesiones, el robo de credenciales y el compromiso total de cuentas.

Un historial de riesgo en el sector gubernamental mexicano

El uso de la plataforma de colaboración y correo electrónico Zimbra por parte de diversas dependencias del gobierno mexicano ha estado en el centro de algunos de los incidentes y alertas de ciberseguridad más graves del país, en buena medida debido a la falta de actualización oportuna de los parches de seguridad.

El hackeo a la SEDENA: “Guacamaya Leaks”: El incidente más devastador y de mayor cobertura mediática ocurrió en octubre de 2022, cuando el colectivo hacktivista Guacamaya logró extraer seis terabytes de información confidencial de la Secretaría de la Defensa Nacional (SEDENA). A diferencia de los ataques dirigidos contra ejércitos de otros países de Latinoamérica — donde se explotaron fallas en Microsoft Exchange — , en México los atacantes aprovecharon vulnerabilidades críticas no gestionadas en el servidor de correo Zimbra de la SEDENA para lograr un compromiso inicial y, posteriormente, escalar privilegios.

Uso continuo en dependencias críticas tras el hackeo: Investigaciones posteriores al ataque contra la SEDENA revelaron que, pese a la gravedad del incidente, la plataforma Zimbra permaneció activa — y con configuraciones vulnerables — en múltiples instituciones de seguridad nacional e infraestructura crítica. Entre las dependencias que mantuvieron el uso de este sistema se identificó a la Secretaría de Marina (SEMAR), la Fiscalía General de la República, diversas instituciones de salud pública y dependencias del Gobierno de la Ciudad de México.

El caso de la UNAM: Aunque se trata de una institución autónoma y no de una dependencia directa del gobierno federal, la Universidad Nacional Autónoma de México (UNAM) también resintió las consecuencias de esta falta de actualización. En marzo de 2024, un atacante logró infiltrarse en uno de sus servidores aprovechando las mismas fallas de Zimbra, y consiguió extraer 907.75 gigabytes de información de cuentas de correo electrónico.

Alertas masivas por vulnerabilidades críticas de ejecución remota

La unidad de investigación de SILIKN ha emitido alertas urgentes dirigidas al sector público mexicano a raíz del descubrimiento de nuevas fallas en la plataforma: a finales de 2024, se detectó que al menos 83 dependencias gubernamentales — tanto federales como estatales — quedaron expuestas a un hackeo masivo tras la aparición de la vulnerabilidad CVE-2024–45519. El riesgo técnico de esta falla, ubicada en el servidor SMTP de Zimbra, permite a atacantes remotos no autenticados ejecutar comandos arbitrarios y tomar control total de los servidores mediante el envío de correos electrónicos maliciosos, lo que pone en riesgo la confidencialidad de millones de correos oficiales.


Entre las dependencias gubernamentales que se mantienen en alto riesgo frente a este tipo de vulnerabilidades se encuentran:

  • Secretaría de la Defensa Nacional (SEDENA)
  • Secretaría de Marina (SEMAR)
  • Guardia Nacional
  • Procuraduría Federal de la Defensa del Trabajo (PROFEDET)
  • Comisión Nacional para el Conocimiento y Uso de la Biodiversidad (CONABIO)
  • Secretaría de Desarrollo Agrario, Territorial y Urbano (SEDATU)
  • Instituto Nacional de Enfermedades Respiratorias (INER)
  • Gobierno del Estado de Jalisco
  • Gobierno del Estado de Tlaxcala
  • Gobierno del Estado de Guerrero
  • Gobierno Municipal de Chihuahua y Gobierno Municipal de Irapuato
  • Municipio de Tecámac (Estado de México)
  • Unidad Estatal de Telecomunicaciones del Estado de Guerrero
  • Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán
  • Auditoría Superior del Estado de Zacatecas
  • Gobierno de la Ciudad de México
  • Alcaldía de Tláhuac
  • Alcaldía de Tlalpan
  • Alcaldía de Xochimilco
  • Alcaldía Iztacalco
  • Alcaldía La Magdalena Contreras
  • Fondo para el Desarrollo Social de la CDMX (FONDESO)
  • Sistema de Aguas de la Ciudad de México
  • Universidad Nacional Autónoma de México (UNAM)
  • Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS)
  • Organismos Operadores de Agua Potable (como el de Morelia, OOAPAS)

Recomendaciones para mitigar el riesgo

Para corregir este tipo de vulnerabilidades y reducir la exposición de los servidores Zimbra, las organizaciones deben actualizar de inmediato su infraestructura a la versión Zimbra Collaboration Suite 10.1.19 o superior, ya que los parches oficiales representan la única vía definitiva para resolver los fallos presentes en el código del Cliente Web Clásico.

Asimismo, resulta indispensable:

  • Aplicar políticas estrictas de saneamiento, validación y codificación adecuada de datos en todas las entradas de la aplicación, con el fin de impedir la inyección de JavaScript malicioso.
  • Implementar una Política de Seguridad de Contenido (CSP) robusta en los servidores web, que restrinja la ejecución de scripts no autorizados.
  • Activar de manera obligatoria la autenticación de doble factor (2FA) para todos los usuarios gubernamentales, con el objetivo de neutralizar el impacto ante un eventual robo de credenciales o secuestro de sesiones.
  • Monitorear de forma continua los registros de acceso al correo electrónico, a fin de detectar de manera proactiva cualquier comportamiento anómalo o patrón de explotación antes de que comprometa la red institucional.

Para mayor información, visite: https://www.silikn.net/