CNCS alerta para falha no IceWarp

O Centro Nacional de Cibersegurança (CNCS) emitiu um alerta relativo a uma vulnerabilidade no IceWarp, ainda sem identificação CVE ou EUVD atribuída, que pode permitir a um atacante obter acesso não autorizado ao servidor onde a plataforma está instalada.

Segundo a informação divulgada, a falha afeta tanto instalações on-premises como ambientes cloud, em sistemas Windows e Linux. Quando explorada com sucesso, poderá conduzir ao comprometimento total do servidor.

Estão abrangidas versões desde a 11.0.0 até às mais recentes releases, tendo sido disponibilizadas atualizações de segurança para mitigar o risco. As versões mínimas com correção são:

• IceWarp EPOS Update 2: 14.2.0.9 ou superior (versão mais recente 14.2.0.12);
• IceWarp EPOS Update 1: 14.1.0.19 ou superior (versão mais recente 14.1.0.20);
• IceWarp EPOS (1.ª geração): 14.0.0.18 ou superior;
• Deep Castle e anteriores: 13.0.3.13 ou superior.

A IceWarp indica que a atualização já foi aplicada às instâncias cloud, sendo necessária intervenção imediata apenas nas implementações on-premises.

O fabricante recomenda a realização de um backup completo da instância antes de proceder à atualização, bem como o seguimento rigoroso das instruções oficiais para cada plataforma (Linux ou Windows). Em caso de dúvidas, deve ser contactado o suporte técnico da IceWarp.

De acordo com a empresa, a vulnerabilidade foi identificada no âmbito de testes regulares de segurança e, se explorada através de um script especificamente construído, poderá levar ao comprometimento total do servidor. Até ao momento, não foram reportados incidentes confirmados de exploração.

O CNCS sublinha a gravidade da falha e reforça a necessidade de atualização urgente, recordando que a exposição de servidores de correio eletrónico e colaboração a partir da Internet aumenta significativamente o risco de exploração. Recomenda-se igualmente a revisão das configurações de segurança e a monitorização ativa de eventuais comportamentos anómalos após a aplicação do patch.