Una nota de parche que se lee como una cuenta atrás

El aviso de Zimbra fue breve y concreto. Quien ejecute el Classic Web Client en Zimbra Collaboration debería pasar a la versión 10.1.19, y hacerlo pronto. La compañía calificó el fallo de crítico, la palabra más fuerte que emplea, y dejó casi todo el razonamiento al lector.

Para un administrador que abre esa nota un lunes por la mañana, el mensaje es claro. Una plataforma de correo situada en el centro de una organización tiene un agujero justo en la parte que representa los mensajes, y el reloj para corregirlo ya está en marcha.

Qué hace realmente el fallo

El error es un cross-site scripting almacenado. Un atacante envía un correo especialmente manipulado y, cuando el destinatario lo abre en el Classic Web Client, el código controlado por el atacante se ejecuta dentro de la sesión del navegador en lugar de quedarse como texto inerte. Desde ahí puede leer datos de sesión, ajustes de la cuenta y el contenido del buzón.

No hace falta ningún clic en un enlace más allá de abrir el mensaje, y no hay que instalar ningún programa malicioso. La víctima solo lee su correo. Zimbra corrigió el problema en 10.1.19 y aún no se ha asignado un identificador CVE, algo habitual en los primeros días tras un parche del fabricante.

Por qué la huella de Google reinicia el reloj

El detalle que debería cambiar la urgencia es quién reportó el fallo. Fue el Threat Analysis Group de Google, la unidad que rastrea intrusiones respaldadas por Estados y ataques contra usuarios de alto riesgo. TAG no suele sacar a la luz errores rutinarios, así que su implicación apunta a un fallo con un uso de espionaje plausible.

Zimbra tiene un largo historial en esto. Grupos vinculados a Estados como APT28, APT29 y Winter Vivern han convertido en armas fallos anteriores de Zimbra contra buzones gubernamentales, militares y diplomáticos, y contra objetivos ucranianos, a menudo pocas semanas después de su divulgación. Este fallo aún no figura como explotado de forma activa, pero ese historial explica por qué el intervalo entre el parche y el ataque suele ser corto.

El cliente Classic es toda la exposición

Solo está afectado el Classic Web Client, también llamado Classic UI. La interfaz más nueva no es el objetivo. Eso suena a una reducción del riesgo, y en cierto sentido lo es, pero esconde una trampa: muchas organizaciones dejaron el cliente Classic encendido para que los usuarios de siempre conservaran la disposición que conocían.

Ese interruptor heredado es ahora la superficie de ataque. Antes de parchear, la pregunta honesta para un operador no es si Zimbra está desplegado, sino quién dentro de la organización sigue aterrizando en la interfaz Classic, porque esas son las cuentas que un correo manipulado alcanzaría primero.

Qué hacer antes de que llegue el código del exploit

La solución directa es actualizar a ZCS 10.1.19. Donde una actualización inmediata no sea posible, desactivar el Classic Web Client elimina la superficie expuesta hasta que se pueda programar la actualización, y tratar el correo no solicitado a los usuarios de webmail como de mayor riesgo da algo de margen.

Los organismos públicos europeos y los operadores de telecomunicaciones representan una gran parte de la base instalada de Zimbra, y son además el perfil que los actores estatales ya han perseguido antes. Para ellos el orden de prioridad es simple: parchear ahora, confirmar que el cliente Classic ha desaparecido y luego revisar los registros por cualquier cosa que llegara antes de la corrección.