I en nylig afsløring fra Google Threat Analysis Group (TAG), en kritisk zero-day fejl i Zimbra Collaboration e-mail-softwaren er blevet omdrejningspunktet for cyberangreb fra den virkelige verden. Udnyttet af fire forskellige trusselsaktører, disse angreb havde til formål at stjæle følsomme e-mail-data, brugerlegitimationsoplysninger, og autentificeringstokens har givet anledning til bekymring blandt cybersikkerhedseksperter.
CVE-2023-37580-sårbarheden
Sporet som CVE-2023-37580, fejlen er en afspejlet cross-site scripting (XSS) sårbarhed, der påvirker Zimbra-versioner før 8.8.15 Patch 41. Opdaget og rapporteret af TAG-forsker Clément Lecigne, sårbarheden blev rettet af Zimbra gennem patches udgivet i juli 25, 2023.
Hvordan fejlen virker
Sårbarheden giver mulighed for at udføre ondsindede scripts på ofre’ webbrowsere ved at narre dem til at klikke på en specielt udformet URL. Dette udløser en XSS-anmodning til Zimbra, reflektere angrebet tilbage til brugeren og potentielt gøre det muligt for angriberen at udføre ondsindede handlinger.
Tidslinje for angreb
Google TAG afslørede flere kampagnebølger baseret på CVE-2023-37580 fra juni 29, 2023, to uger før Zimbra udsendte et råd. Tre af de fire kampagner blev påbegyndt før udgivelsen af patchen, understreger, at det haster med rettidige opdateringer. Den fjerde kampagne blev opdaget en måned efter, at rettelserne blev offentliggjort.
Kampagnedetaljer
- TEMP_HERETIC: Den første kampagne var rettet mod en regeringsorganisation i Grækenland, afsendelse af e-mails, der indeholder udnyttede URL'er, der fører til levering af e-mail-stjælende malware.
- Vinter Vivern: Denne trusselsaktør fokuserede på regeringsorganisationer i Moldova og Tunesien kort efter, at sårbarhedspatchen blev sendt til GitHub i juli 5. Winter Vivern har tidligere været forbundet med at udnytte sikkerhedssårbarheder i Zimbra Collaboration og Roundcube.
- Uidentificeret gruppe i Vietnam: Før patchen blev udgivet i juli 25, en tredjedel, uidentificeret gruppe udnyttede fejlen til at phishe efter legitimationsoplysninger fra en regeringsorganisation i Vietnam. Angriberne brugte en phishing-side til at indsamle webmail-legitimationsoplysninger og postede stjålne legitimationsoplysninger til en URL på et officielt regeringsdomæne.
- Målrettet mod Pakistan: Den august 25, en regeringsorganisation i Pakistan blev offer for fejlen, resulterer i eksfiltrering af Zimbra-godkendelsestokens til et eksternt navngivet domæne “ntcpk[.]org.”
Google TAG understregede mønsteret af trusselsaktører, der udnytter XSS-sårbarheder i mailservere, understreger behovet for grundige revisioner af sådanne ansøgninger. Opdagelsen af fire kampagner, der udnytter CVE-2023-37580, selv efter at fejlen var offentligt kendt, understreger vigtigheden af, at organisationer omgående anvender rettelser på deres mailservere.
Konklusion
Zimbra CVE-2023-37580 zero-day sårbarheden har udsat organisationer for målrettede angreb, viser betydningen af robuste cybersikkerhedsforanstaltninger og behovet for hurtig vedtagelse af patches. Efterhånden som cybertrusler udvikler sig, proaktive sikkerhedsforanstaltninger, regelmæssige revisioner, og hurtig anvendelse af opdateringer er afgørende for at beskytte følsomme oplysninger og opretholde integriteten af kommunikationsplatforme.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: