Četiri različite grupe su iskoristile nultu grešku u softveru za e-poštu Zimbra Collaboration u napadima u stvarnom svijetu za krađu podataka e-pošte, korisničkih kredencijala i tokena za autentifikaciju.
“Većina ove aktivnosti dogodila se nakon što je početna popravka postala javna na GitHub-u”, navodi Google Threat Analysis Group (TAG) u izvještaju koji je podijeljen za The Hacker News.
Greška, praćena kao CVE-2023-37580 (CVSS rezultat: 6.1), predstavlja ranjivost koja se odražava na cross-site scripting (XSS), a utiče na verzije prije 8.8.15, zakrpa 41. Zimbra ju je riješila kao dio zakrpa objavljenih 25. jula 2023.
Uspješno iskorištavanje nedostatka moglo bi omogućiti izvršavanje zlonamjernih skripti na web pretraživaču žrtve jednostavnim navođenjem da kliknu na posebno kreirani URL, efektivno inicirajući XSS zahtjev za Zimbru i vraćajući napad nazad na korisnika.
Google TAG, čiji je istraživač Clément Lecigne zaslužan za otkrivanje i prijavljivanje greške, rekao je da je otkrio višestruke talase kampanje počevši od 29. juna 2023. godine, najmanje dvije sedmice prije nego što je Zimbra izdala savjet.
Tri od četiri kampanje su uočene prije objavljivanja zakrpe, dok je četvrta kampanja otkrivena mjesec dana nakon što su popravke objavljene.
Navodi se da je prva kampanja bila ciljana na vladinu organizaciju u Grčkoj, šaljući e-poruke koje sadrže URL-ove eksploatacije njihovim metama koje su, kada su kliknule, isporučivale malver za krađu e-pošte koji je ranije uočen u operaciji sajber špijunaže nazvanoj EmailThief u februaru 2022.
Intruzijska grupa, koji je Volexity nazvao TEMP_HERETIC, također je iskoristila tadašnju zero day grešku u Zimbri za izvođenje napada.
Drugi haker koji je iskoristio CVE-2023-37580 je Winter Vivern, koji je ciljao vladine organizacije u Moldaviji i Tunisu ubrzo nakon što je zakrpa za ranjivost prebačena na GitHub 5. jula.
Vrijedi napomenuti da je protivnički kolektiv ove godine povezan s iskorištavanjem sigurnosnih propusta u Zimbra Collaboration i Roundcube od strane Proofpointa i ESET-a.
TAG je saopštio da je uočio treću, neidentifikovanu grupu koja je iskoristila grešku pre nego što je zakrpa objavljena 25. jula za fišing kredencijala koji pripadaju vladinoj organizaciji u Vijetnamu.
“U ovom slučaju, URL za eksploataciju je prikazivao fišing stranicu za kredencijale veb-pošte korisnika i postavljala ukradene kredencijale na URL koji se nalazi na zvaničnom vladinom domenu koji su napadači verovatno kompromitovali”, napomenuli su iz TAG-a.
Konačno, vladina organizacija u Pakistanu je bila meta korišćenjem greške 25. avgusta, što je rezultovalo eksfiltracijom Zimbra tokena za autentifikaciju na udaljeni domen pod nazivom “ntcpk[.]org”.
Google je dalje ukazao na obrazac u kojem hakeri redovno iskorištavaju XSS ranjivosti na mail serverima, zbog čega je potrebna temeljita revizija takvih aplikacija.
“Otkriće najmanje četiri kampanje koje iskorištavaju CVE-2023-37580, tri kampanje nakon što je greška prvi put postala javna, pokazuje važnost primene popravki na mejl serverima organizacija što je pre moguće,” rekao je TAG.
“Ove kampanje takođe ističu kako napadači prate repozitorije sa otvorenim kodom kako bi oportunistički eksploatisali ranjivosti gde je zakrpa u repozitorijumu, ali još nije puštena korisnicima.”
Izvor: The Hacker News
