Em uma revelação recente do Google Threat Analysis Group (TAG), uma crítica zero-day falha no software de e-mail Zimbra Collaboration tornou-se o ponto focal de ataques cibernéticos no mundo real. Explorado por quatro atores de ameaças distintos, esses ataques visavam roubar dados confidenciais de e-mail, as credenciais do usuário, e tokens de autenticação levantaram preocupações entre especialistas em segurança cibernética.
A vulnerabilidade CVE-2023-37580
Rastreado como CVE-2023-37580, a falha é um script entre sites refletido (XSS) vulnerabilidade afetando versões do Zimbra antes 8.8.15 remendo 41. Descoberto e relatado pelo pesquisador da TAG Clément Lecigne, a vulnerabilidade foi corrigida pelo Zimbra por meio de patches lançados em julho 25, 2023.
Como funciona a falha
A vulnerabilidade permite a execução de scripts maliciosos nas vítimas’ navegadores da web, enganando-os para que cliquem em um URL especialmente criado. Isso aciona uma solicitação XSS para o Zimbra, refletindo o ataque de volta ao usuário e potencialmente permitindo que o invasor execute ações maliciosas.
Linha do tempo de ataques
O Google TAG descobriu várias ondas de campanha com base em CVE-2023-37580 a partir de junho 29, 2023, duas semanas antes do Zimbra emitir um comunicado. Três das quatro campanhas foram iniciadas antes do lançamento do patch, enfatizando a urgência de atualizações oportunas. A quarta campanha foi detectada um mês depois que as correções foram divulgadas.
Detalhes da campanha
- TEMP_HERETIC: A primeira campanha teve como alvo uma organização governamental na Grécia, envio de e-mails contendo URLs de exploração que levam à entrega de malware para roubo de e-mail.
- Viver de Inverno: Este ator de ameaça se concentrou em organizações governamentais na Moldávia e na Tunísia logo após o patch de vulnerabilidade ter sido enviado ao GitHub em julho 5. Winter Vivern foi anteriormente associado à exploração de vulnerabilidades de segurança no Zimbra Collaboration e Roundcube.
- Grupo não identificado no Vietnã: Antes do patch ser lançado em julho 25, um terceiro, grupo não identificado explorou a falha para obter credenciais de uma organização governamental no Vietnã. Os invasores usaram uma página de phishing para coletar credenciais de webmail e postaram credenciais roubadas em uma URL de um domínio oficial do governo..
- Visando o Paquistão: Em agosto 25, uma organização governamental no Paquistão foi vítima da falha, resultando na exfiltração de tokens de autenticação Zimbra para um domínio remoto denominado “ntcpk[.]organização.”
O Google TAG enfatizou o padrão de agentes de ameaças que exploram vulnerabilidades XSS em servidores de e-mail, destacando a necessidade de auditorias completas de tais aplicações. A descoberta de quatro campanhas explorando CVE-2023-37580, mesmo depois que a falha foi conhecida publicamente, ressalta a importância de as organizações aplicarem prontamente correções em seus servidores de e-mail.
Conclusão
A vulnerabilidade de dia zero Zimbra CVE-2023-37580 expôs as organizações a ataques direcionados, mostrando a importância de medidas robustas de segurança cibernética e a necessidade de adoção rápida de patches. À medida que as ameaças cibernéticas evoluem, medidas de segurança proativas, auditorias regulares, e a aplicação imediata de atualizações são cruciais para proteger informações confidenciais e manter a integridade das plataformas de comunicação.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: