Google脅威分析グループによる最近の暴露では (鬼ごっこ), 重大な ゼロデイ Zimbra Collaboration 電子メール ソフトウェアの欠陥が現実世界のサイバー攻撃の中心となっている. 4 つの異なる攻撃者によって悪用される, これらの攻撃は機密電子メールデータの窃取を目的としています, ユーザーの資格情報, および認証トークンはサイバーセキュリティの専門家の間で懸念を引き起こしています.
CVE-2023-37580 脆弱性
CVE-2023-37580 として追跡される, 欠陥はクロスサイトスクリプティングの反映です (XSS) 以前の Zimbra バージョンに影響を与える脆弱性 8.8.15 パッチ 41. TAG 研究者のクレマン・ルシーニュによって発見され報告されました。, この脆弱性は、7 月にリリースされたパッチを通じて Zimbra によって対処されました。 25, 2023.
欠陥の仕組み
この脆弱性により、被害者に対して悪意のあるスクリプトが実行される可能性があります。’ Web ブラウザをだまして特別に細工された URL をクリックさせます。. これにより、Zimbra への XSS リクエストがトリガーされます, 攻撃がユーザーに反射され、攻撃者が悪意のあるアクションを実行できる可能性があります。.
攻撃のタイムライン
Google TAG は、6 月から始まる CVE-2023-37580 に基づく複数のキャンペーン ウェーブを発見しました 29, 2023, Zimbraが勧告を出す2週間前. 4 つのキャンペーンのうち 3 つはパッチのリリース前に開始されました, タイムリーな更新の緊急性を強調する. 4 番目のキャンペーンは、修正が公開されてから 1 か月後に検出されました。.
キャンペーン詳細
- TEMP_HERETIC: 最初のキャンペーンはギリシャの政府機関を標的とした, 電子メールを盗むマルウェアの配信につながるエクスプロイト URL を含む電子メールの送信.
- ウィンター・ビバーン: この攻撃者は、7 月に脆弱性パッチが GitHub にプッシュされた直後、モルドバとチュニジアの政府機関に焦点を当てました。 5. Winter Vivern は以前、Zimbra Collaboration と Roundcube のセキュリティ脆弱性の悪用に関与しているとされていました。.
- ベトナムの正体不明のグループ: 7月にパッチがリリースされる前に 25, 3番目の, 正体不明のグループがこの欠陥を悪用し、ベトナムの政府機関からの認証情報をフィッシングした. 攻撃者はフィッシング ページを使用して Web メールの認証情報を収集し、盗んだ認証情報を政府の公式ドメインの URL に投稿しました。.
- パキスタンをターゲットに: 8月に 25, パキスタンの政府機関がこの欠陥の犠牲になった, その結果、Zimbra 認証トークンがリモート ドメインに流出します。 “ntcpk[.]組織。”
Google TAGは、メールサーバーのXSS脆弱性を悪用する攻撃者のパターンを強調した, このようなアプリケーションの徹底的な監査の必要性を強調する. CVE-2023-37580 を悪用した 4 つのキャンペーンの発見, 欠陥が公になった後でも, 組織がメールサーバーに修正を迅速に適用することの重要性を強調しています.
結論
Zimbra CVE-2023-37580のゼロデイ脆弱性により、組織は標的型攻撃にさらされている, 強力なサイバーセキュリティ対策の重要性とパッチの迅速な導入の必要性を示す. サイバー脅威が進化するにつれて, 積極的なセキュリティ対策, 定期的な監査, 機密情報を保護し、通信プラットフォームの整合性を維持するには、アップデートを迅速に適用することが重要です。.