Dat blijkt uit een recente onthulling van de Google Threat Analysis Group (LABEL), een kritisch zero-day Een fout in de e-mailsoftware van Zimbra Collaboration is het brandpunt geworden van cyberaanvallen in de echte wereld. Uitgebuit door vier verschillende bedreigingsactoren, deze aanvallen waren gericht op het stelen van gevoelige e-mailgegevens, gebruikersgegevens, en authenticatietokens hebben aanleiding gegeven tot bezorgdheid onder cyberbeveiligingsexperts.
Het beveiligingslek CVE-2023-37580
Bijgehouden als CVE-2023-37580, de fout is een weerspiegelde cross-site scripting (XSS) kwetsbaarheid die eerder Zimbra-versies trof 8.8.15 Lap 41. Ontdekt en gerapporteerd door TAG-onderzoeker Clément Lecigne, De kwetsbaarheid is door Zimbra verholpen via patches die in juli zijn uitgebracht 25, 2023.
Hoe de fout werkt
Door de kwetsbaarheid kunnen kwaadaardige scripts op slachtoffers worden uitgevoerd’ webbrowsers door ze te misleiden zodat ze op een speciaal vervaardigde URL klikken. Dit activeert een XSS-verzoek aan Zimbra, waardoor de aanval wordt teruggekaatst naar de gebruiker en de aanvaller mogelijk in staat wordt gesteld kwaadaardige acties uit te voeren.
Chronologie van aanvallen
Google TAG heeft vanaf juni meerdere campagnegolven ontdekt op basis van CVE-2023-37580 29, 2023, twee weken voordat Zimbra een advies uitbracht. Drie van de vier campagnes zijn gestart vóór de release van de patch, waarbij de urgentie van tijdige updates wordt benadrukt. De vierde campagne werd een maand nadat de oplossingen openbaar waren gemaakt, ontdekt.
Campagnedetails
- TEMP_HERETISCH: De eerste campagne was gericht tegen een overheidsorganisatie in Griekenland, het verzenden van e-mails met exploit-URL's die leiden tot de levering van e-mailstelende malware.
- Winter Vivern: Deze bedreigingsacteur richtte zich op overheidsorganisaties in Moldavië en Tunesië, kort nadat de kwetsbaarheidspatch in juli naar GitHub was gepusht 5. Winter Vivern is eerder in verband gebracht met het exploiteren van beveiligingskwetsbaarheden in Zimbra Collaboration en Roundcube.
- Onbekende groep in Vietnam: Voordat de patch in juli werd uitgebracht 25, een derde, Een onbekende groep maakte gebruik van de fout om te phishen naar inloggegevens van een overheidsorganisatie in Vietnam. De aanvallers gebruikten een phishing-pagina om webmailgegevens te verzamelen en plaatsten gestolen gegevens op een URL op een officieel overheidsdomein.
- Gericht op Pakistan: In augustus 25, een overheidsorganisatie in Pakistan werd het slachtoffer van de fout, resulterend in de exfiltratie van Zimbra-authenticatietokens naar een extern domein met de naam “ntcpk[.]org.”
Google TAG benadrukte het patroon van bedreigingsactoren die XSS-kwetsbaarheden in mailservers misbruiken, waarbij de noodzaak van grondige audits van dergelijke toepassingen wordt benadrukt. De ontdekking van vier campagnes die CVE-2023-37580 exploiteren, zelfs nadat de fout publiekelijk bekend was, onderstreept het belang van organisaties die snel oplossingen aanbrengen op hun mailservers.
Conclusie
De Zimbra CVE-2023-37580 zero-day kwetsbaarheid heeft organisaties blootgesteld aan gerichte aanvallen, Hierbij wordt het belang van robuuste cyberbeveiligingsmaatregelen en de noodzaak van een snelle adoptie van patches aangetoond. Naarmate cyberdreigingen evolueren, proactieve beveiligingsmaatregelen, regelmatige audits, en snelle toepassing van updates zijn van cruciaal belang voor het beschermen van gevoelige informatie en het handhaven van de integriteit van communicatieplatforms.