In einer aktuellen Enthüllung der Google Threat Analysis Group (ETIKETT), ein kritischer Zero-Day Der Fehler in der E-Mail-Software Zimbra Collaboration ist zum Brennpunkt realer Cyberangriffe geworden. Wird von vier verschiedenen Bedrohungsakteuren ausgenutzt, Diese Angriffe zielten darauf ab, sensible E-Mail-Daten zu stehlen, Benutzerdaten, und Authentifizierungstoken haben bei Cybersicherheitsexperten Bedenken hervorgerufen.
Die Sicherheitslücke CVE-2023-37580
Verfolgt als CVE-2023-37580, Der Fehler ist ein reflektiertes Cross-Site-Scripting (XSS) Sicherheitslücke, die zuvor Zimbra-Versionen betraf 8.8.15 Flicken 41. Entdeckt und berichtet vom TAG-Forscher Clément Lecigne, Die Schwachstelle wurde von Zimbra durch im Juli veröffentlichte Patches behoben 25, 2023.
Wie der Fehler funktioniert
Die Sicherheitslücke ermöglicht die Ausführung bösartiger Skripte auf Opfern’ Webbrowser, indem sie sie dazu verleiten, auf eine speziell gestaltete URL zu klicken. Dies löst eine XSS-Anfrage an Zimbra aus, Dies reflektiert den Angriff zurück zum Benutzer und ermöglicht dem Angreifer möglicherweise die Ausführung böswilliger Aktionen.
Chronologie der Angriffe
Google TAG hat ab Juni mehrere Kampagnenwellen basierend auf CVE-2023-37580 aufgedeckt 29, 2023, zwei Wochen bevor Zimbra eine Empfehlung herausgab. Drei der vier Kampagnen wurden vor der Veröffentlichung des Patches gestartet, Betonung der Dringlichkeit rechtzeitiger Aktualisierungen. Die vierte Kampagne wurde einen Monat nach Veröffentlichung der Fehlerbehebungen entdeckt.
Kampagnendetails
- TEMP_HERETIC: Die erste Kampagne richtete sich gegen eine Regierungsorganisation in Griechenland, Versenden von E-Mails mit Exploit-URLs, die zur Übermittlung von E-Mail-stehlender Malware führen.
- Wintervivern: Dieser Bedrohungsakteur konzentrierte sich auf Regierungsorganisationen in Moldawien und Tunesien, kurz nachdem der Schwachstellen-Patch im Juli auf GitHub gepusht wurde 5. Winter Vivern wurde bereits zuvor mit der Ausnutzung von Sicherheitslücken in Zimbra Collaboration und Roundcube in Verbindung gebracht.
- Unbekannte Gruppe in Vietnam: Bevor der Patch im Juli veröffentlicht wurde 25, ein Drittel, Eine nicht identifizierte Gruppe nutzte die Sicherheitslücke aus, um Zugangsdaten von einer Regierungsorganisation in Vietnam zu erbeuten. Die Angreifer nutzten eine Phishing-Seite, um Webmail-Anmeldedaten zu sammeln und posteten die gestohlenen Anmeldedaten an eine URL einer offiziellen Regierungsdomäne.
- Pakistan im Visier: Im August 25, Eine Regierungsorganisation in Pakistan wurde Opfer des Fehlers, Dies führt zur Exfiltration von Zimbra-Authentifizierungstokens an eine Remote-Domäne namens “ntcpk[.]org.”
Google TAG betonte das Muster, dass Bedrohungsakteure XSS-Schwachstellen in Mailservern ausnutzen, Dies unterstreicht die Notwendigkeit gründlicher Prüfungen solcher Anwendungen. Die Entdeckung von vier Kampagnen, die CVE-2023-37580 ausnutzen, selbst nachdem der Fehler öffentlich bekannt wurde, unterstreicht, wie wichtig es ist, dass Unternehmen umgehend Korrekturen an ihren Mailservern vornehmen.
Abschluss
Die Zero-Day-Schwachstelle Zimbra CVE-2023-37580 hat Unternehmen gezielten Angriffen ausgesetzt, Es zeigt die Bedeutung robuster Cybersicherheitsmaßnahmen und die Notwendigkeit einer schnellen Einführung von Patches. Während sich Cyber-Bedrohungen weiterentwickeln, proaktive Sicherheitsmaßnahmen, regelmäßige Audits, Die rechtzeitige Anwendung von Aktualisierungen ist für den Schutz vertraulicher Informationen und die Wahrung der Integrität von Kommunikationsplattformen von entscheidender Bedeutung.