En una reciente revelación del Grupo de Análisis de Amenazas de Google (ETIQUETA), Un crítico Día cero Una falla en el software de correo electrónico Zimbra Collaboration se ha convertido en el foco de ciberataques en el mundo real. Explotado por cuatro actores de amenazas distintos, Estos ataques tienen como objetivo robar datos confidenciales de correo electrónico., credenciales de usuario, y los tokens de autenticación han generado preocupación entre los expertos en ciberseguridad.
La vulnerabilidad CVE-2023-37580
Seguimiento como CVE-2023-37580, el defecto es un scripting entre sitios reflejado (XSS) vulnerabilidad que afecta a versiones anteriores de Zimbra 8.8.15 Parche 41. Descubierto y reportado por el investigador de TAG Clément Lecigne, Zimbra abordó la vulnerabilidad mediante parches lanzados en julio 25, 2023.
Cómo funciona el defecto
La vulnerabilidad permite la ejecución de scripts maliciosos en las víctimas.’ navegadores web engañándolos para que hagan clic en una URL especialmente diseñada. Esto desencadena una solicitud XSS a Zimbra, Reflejar el ataque al usuario y potencialmente permitir que el atacante ejecute acciones maliciosas..
Cronología de los ataques
Google TAG descubrió múltiples oleadas de campañas basadas en CVE-2023-37580 a partir de junio 29, 2023, dos semanas antes de que Zimbra emitiera un aviso. Tres de las cuatro campañas se iniciaron antes del lanzamiento del parche., enfatizando la urgencia de actualizaciones oportunas. La cuarta campaña fue detectada un mes después de que se hicieran públicos los arreglos.
Detalles de la campaña
- TEMP_HERÉTICO: La primera campaña estuvo dirigida a una organización gubernamental en Grecia., enviar correos electrónicos que contienen URL de explotación que conducen a la entrega de malware para robar correos electrónicos.
- Vivern de invierno: Este actor de amenazas se centró en organizaciones gubernamentales en Moldavia y Túnez poco después de que el parche de vulnerabilidad fuera enviado a GitHub en julio. 5. Winter Vivern ha sido vinculado anteriormente con la explotación de vulnerabilidades de seguridad en Zimbra Collaboration y Roundcube..
- Grupo no identificado en Vietnam: Antes de que se lanzara el parche en julio 25, un tercio, Un grupo no identificado aprovechó la falla para obtener credenciales de una organización gubernamental en Vietnam.. Los atacantes utilizaron una página de phishing para recopilar credenciales de correo web y publicaron las credenciales robadas en una URL de un dominio oficial del gobierno..
- Apuntando a Pakistán: En Agosto 25, una organización gubernamental en Pakistán fue víctima de la falla, lo que resulta en la exfiltración de tokens de autenticación de Zimbra a un dominio remoto llamado “ntcpk[.]org.”
Google TAG enfatizó el patrón de los actores de amenazas que explotan las vulnerabilidades XSS en los servidores de correo, destacando la necesidad de realizar auditorías exhaustivas de dichas aplicaciones. El descubrimiento de cuatro campañas que explotan CVE-2023-37580, incluso después de que la falla fuera conocida públicamente, subraya la importancia de que las organizaciones apliquen rápidamente correcciones a sus servidores de correo.
Conclusión
La vulnerabilidad de día cero Zimbra CVE-2023-37580 ha expuesto a las organizaciones a ataques dirigidos, mostrando la importancia de medidas sólidas de ciberseguridad y la necesidad de una rápida adopción de parches. A medida que evolucionan las ciberamenazas, medidas de seguridad proactivas, auditorías periódicas, y la rápida aplicación de actualizaciones son cruciales para salvaguardar la información confidencial y mantener la integridad de las plataformas de comunicación..