El día 31 de octubre de 2022, a las 9:56 de la tarde, hora española, fueron distribuidos por parte el grupo de activistas KelvingSecurity más de 6 GB de documentos de la Secretaría de Administración y Finanzas de la Ciudad de México.
La noche del 31 de octubre, el usuario «kelvinsecurity« (usuario del grupo de activistas KelvinSecurity) puso a la venta en la dark web más de 6 GB de documentos obtenidos de la Secretaría de Administración y Finanzas de la Ciudad de México a través de la página web BreachForums, la cual es un foro destinado a brechas de seguridad, filtrado de información y venta de las mismas.
Dicha noticia fue anunciada en Twitter por Hiram Alejandro (@hiramcoop), cofundador y CEO de Seekurity, pero no proporciona demasiada información sobre la misma. La única información que proporciona es que puede tratarse de la explotación de una vulnerabilidad del programa Zimbra, utilizado por el gobierno mexicano para la colaboración y mensajería entre sus miembros.
Datos expuestos
El atacante, como prueba de que los datos y documentos que está vendiendo son verídicos, ha mostrado partes de tres de los documentos recopilados, por lo que nos podemos hacer una idea de la magnitud de los datos filtrados.
Entre esos documentos mostrados se puede ver la variedad de información que el grupo activista ha recopilado, desde recibos emitidos por el Banco Nacional de México, hasta contratos de compraventa de inmuebles, con nombres, apellidos, direcciones, firmas, etc.
En total se han filtrado la gran cantidad de 72.853 documentos, correspondientes a 6,04 GB de información en formato PDF.
Posible vector de entrada
Aunque el grupo de activistas no ha mencionado ninguna explotación de vulnerabilidades, Hiram Alejandro sugiere una explotación de la vulnerabilidad CVE-2022-41352 del software Zimbra, utilizado por el gobierno mexicano. Esto se debe a que el grupo de activistas KelvinSecurity ya utilizó esta explotación en previas situaciones contra entidades públicas en el mismo mes.
La suite de colaboración Zimbra es un programa informático colaborativo que consta de un servicio de correo electrónico que utilizan varias entidades de la Ciudad de México y a la que el pasado 8 de octubre de 2022 se le asoció el CVE-2022-41352.
Este CVE pertenece a una vulnerabilidad crítica de ejecución de código remota que permite al atacante descargar archivos a través de una laguna en el cpio que puede acarrear accesos incorrectos a otras cuentas de usuario.
La vulnerabilidad, según la página del NIST, afecta a las versiones de Zimbra Collaboration 8.8.15 y 9.0.0, y fue publicada el 25 de septiembre de 2022. Sin embargo, no fue hasta el 29 de septiembre que se le otorgó un nivel de criticidad de 9’8 sobre 10 y se asoció a las distintas versiones de Zimbra.
A pesar de ello, no hay que preocuparse por dicha vulnerabilidad, pues ya está disponible en la propia página web de Zimbra un parche para solventarla, por lo que actualizando la suite no debería afectar a nuestro sistema.
Impacto del filtrado
Debido a que el medio de venta es su cuenta de Telegram @PoCExploiter (la cual es pública actualmente), el hilo del foro no contiene ninguna respuesta, pero sí que incluye 192 visualizaciones desde que se publicó.
Esto podría indicar que dicha información ya ha sido comprada por más de 100 entidades de todo el mundo que podrían utilizarla para motivos muy diversos, provocando un gran problema para el Gobierno de la Ciudad de México.
Por ello, en el caso de que se tenga una versión desactualizada de Zimbra Collaboration es obligatoria su actualización.
Más información:
Hiram Alejandro (Twitter): https://twitter.com/hiramcoop
KelvinSecurity (Twitter): https://twitter.com/Ksecureteamlab
CVE-2022-41352 (NIST): https://nvd.nist.gov/vuln/detail/CVE-2022-41352#VulnChangeHistorySection
Zimbra releases: https://wiki.zimbra.com/wiki/Zimbra_Releases
BreachForums (Dark Web)
La entrada KelvinSecurity Ataca De Nuevo. Secretaría De Administración Y Finanzas De México se publicó primero en Una al Día.
