Alerta de Outbreak: Vulnerabilidad LFI explotada activamente en Zimbra Collaboration Suite

Recursos afectados

Las siguientes versiones de Zimbra Collaboration Suite (ZCS):

• Rama 10.1: Versiones desde 10.1.0 hasta 10.1.12.

• Rama 10.0: Versiones desde 10.0.0 hasta 10.0.17.

Detalle

La vulnerabilidad, identificada como CVE-2025-68645 y clasificada con severidad Alta (CVSS 8.8), es una falla de Inclusión Local de Archivos (LFI). Actualmente, se registra “explotación activa en la naturaleza” (Active exploitation in the wild) y, debido a su impacto, la vulnerabilidad ha sido añadida al catálogo KEV (Known Exploited Vulnerabilities) de CISA.

Descripción

El fallo se produce en la interfaz Webmail Classic UI de ZCS debido a un manejo inadecuado de los parámetros de solicitud proporcionados por el usuario en el servlet RestFilter. Un atacante remoto sin autenticación puede crear solicitudes maliciosas (generalmente dirigidas al endpoint /h/rest) que le permitan leer y extraer datos sensibles directamente desde el directorio WebRoot del sistema. Esta exposición de información de configuración o de la aplicación sirve como herramienta de reconocimiento (“foothold”) para comprometer aún más el entorno objetivo.

Solución

Dado que hay explotación activa, se deben aplicar inmediatamente los parches oficiales liberados por Zimbra:

1. Actualización Inmediata:

   • Para la rama 10.1, actualizar a la versión segura 10.1.13.

   • Para la rama 10.0, actualizar a la versión segura 10.0.18.

2. Mitigación y Defensa:

   • Restringir el acceso a las interfaces web de Zimbra desde redes no confiables.

   • Monitorear los registros (Threat Hunting) en busca de patrones de acceso no autorizado o solicitudes anómalas de inclusión de archivos.

   • Si la red está protegida por un IPS (como FortiGate), asegurarse de contar con las firmas actualizadas para detectar y bloquear intentos de explotación de CVE-2025-68645.