Non sed ipsam reiciendis. Et eos reiciendis quo voluptatem et dolorem neque. Exercitationem nobis labore ab fugit facilis. Porro quia…
Marina, CDMX y otras dependencias siguen usando la plataforma hackeada por Guacamaya
EMEEQUIS pudo comprobar que dependencias de diferentes niveles de gobierno cuentan con páginas de Zimbra activas, plataforma que fue hackeada en Sedena. Se trata de la Secretaría de Marina, el Gobierno de la Ciudad de México, el de Tlaxcala, la Policía Auxiliar capitalina y la Fiscalía General de Tabasco, entre otras.
Non sed ipsam reiciendis. Et eos reiciendis quo voluptatem et dolorem neque. Exercitationem nobis labore ab fugit facilis. Porro quia…
EMEEQUIS.– Zimbra, la plataforma que sirvió a los hackers de Guacamaya para extraer 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena), continúa siendo utilizada por distintas dependencias del gobierno mexicano, incluyendo fiscalías, instituciones de salud y hasta por la Secretaría de Marina y el gobierno de la Ciudad de México.
En un mensaje colgado en la página enlacehacktivista.org, Guacamaya explica cómo se realizó la extracción masiva de información: “Ya había muchas otras webshells allí, con fecha desde el 5 de julio (la fecha puede ser fácilmente cambiada con touch -t pero también está documentado que en julio se empezó a explotar muchos servidores de Zimbra)”.
TE RECOMENDAMOS: EL CÍRCULO DE ARQUÍMEDES, INVESTIGACIÓN DE EMEEQUIS, DESATÓ INDAGATORIAS EN SEDENA
En el mensaje también se aclara explícitamente que al acceder a servidores del Ejército en Zimbra, pudieron detectar “otros hackers” los cuales “estuvieron descargando los correos a la vez”. Lo que significa que atacantes informáticos de denominaciones desconocidas ahora tienen en sus manos información clasificada del ejército mexicano. Sin embargo, esta vulnerabilidad no es exclusiva de la Sedena.
EMEEQUIS pudo comprobar que dependencias de diferentes niveles de gobierno cuentan con páginas de Zimbra activas, tal como la Secretaría de Marina, el Gobierno de la Ciudad de México (que incluye servidores de alcaldías), la Consejería Jurídica y de Servicios Legales, el Ayuntamiento de Morelia, el Instituto de Seguridad Social del Estado de Tabasco, el Gobierno de Tlaxcala, la Policía Auxiliar de la Ciudad de México y la Fiscalía General del Estado de Tabasco.
Para muestra de ello, estos son los enlaces de Zimbra que aún están activos (click en la imagen):
Secretaría de Marina.
Gobierno CDMX.
Ayuntamiento de Morelia.
Policía Auxiliar de la Ciudad de México.
Fiscalía de Tabasco.
ZIMBRA, LA PLATAFORMA VULNERABLE
Meses antes de la revelación de las comunicaciones secretas del Ejército mexicano, entre julio y principios de agosto, la empresa de seguridad cibernética de alcance global Volexity fue contratada para investigar varias infracciones al sistema de Zimbra Collaboration Suite. “A través de múltiples investigaciones, se descubrieron pruebas” que indican que una vulnerabilidad de ejecución remota de código en Zimbra, CVE-2022-27925, que el proveedor parchó en marzo de 2022 y que estaba siendo “explotada en masa”.
Tras un escaneo en todo internet para identificar “instancias Zimbra comprometidas”, se identificaron más de mil en todo el mundo que fueron “pirateadas y comprometidas”. Estas instancias pertenecen a organizaciones como “departamentos y ministerios gubernamentales; ramas militares; negocios de todo el mundo con miles de millones de dólares de ingresos”.
Volexity agrega que “Teniendo en cuenta que este análisis solo usó rutas de shell conocidas por Volexity, es probable que la cantidad real de servidores comprometidos sea mayor”.
Según la investigación, los servidores que sufrieron estos ataques “no estaban completamente actualizados con parches, en la mayoría de los casos, sólo tenían un parche atrasado”.
El rastreo de la empresa encontró dos artículos publicados en sitios chinos que detallan el funcionamiento interno de la vulnerabilidad de ejecución remota CVE-2022-27925. “El primer informe data del 13 de junio de 2022 y es anterior a toda la actividad de explotación observada. El segundo artículo contenía más detalles sobre cómo explotar la vulnerabilidad; se publicó el 7 de julio de 2022, mucho después de muchos casos de explotación pública”.
Estos artículos contienen instrucciones sobre qué pasos seguir para vulnerar Zimbra. Volexity probó que las instrucciones son efectivas para realizar el hackeo.
Informe 1: https://mp.weixin.qq.com/s/2pUW4H1v6mnXtMqTlxZCMA
Informe 2: http://www.yang99.top/index.php/archives/82/
Los resultados de la investigación especifican que algunas organizaciones pudieron priorizar la aplicación de parches para esta vulnerabilidad “en función de la gravedad de los problemas de seguridad”. “En este caso, la vulnerabilidad se clasificó como media, no alta ni crítica, lo que pudo haber llevado a algunas organizaciones a posponer la aplicación de parches”. Cabe destacar que en México fueron detectadas cuatro “infecciones”.
Además, la Cybersecurity and Infrastructure Security Agency publicó un aviso el 4 de agosto de 2022 en el que informa que descubrió que CVE-2022-27925 puede que no sea la única vulnerabilidad de Zimbra que los atacantes utilizan para extraer datos.
LO BARATO SALE CARO
Los precios que ofrece Zimbra están entre los más baratos.
El ingeniero en sistemas Iván Rodríguez Huerta señala en entrevista para EMEEQUIS que Zimbra es utilizada por oficinas gubernamentales por lo barato de sus planes para correos. La empresa vende paquetes desde 18.99 pesos mensuales por buzón y “precios especiales” para más de 150 buzones, dependiendo de las necesidades del cliente. Estos espacios ofrecen 5 gigas de almacenamiento como mínimo.
En comparación, Amazon WorkMail cuesta 4 dólares “por usuario al mes e incluye 50 GB de almacenamiento en el buzón de correo por usuario”. Esto equivale a alrededor de 80.27 pesos mexicanos. Por su parte, Google Workspace cobra 105.30 pesos al mes por usuario (más IVA).
Fundada en 2005, Zimbra está presente en 140 países alrededor del mundo, en más de 1000 instituciones gubernamentales, según datos de su página oficial. Bajo esta empresa se encuentra información de dependencias en México encargadas de investigaciones judiciales, servicios de salud y funciones militares que podrían ser atacadas por hackers anónimos para fines desconocidos, vulnerando información clave para la seguridad de la nación y datos personales que deberían estar seguros bajo el resguardo del gobierno mexicano.
@Ciudadelblues
Powered by Froala Editor