Falha Zero-Day no Software de Email Zimbra Explorada por Quatro Grupos de Hackers
17 de Novembro de 2023

Uma falha zero-day no software de e-mail Zimbra Collaboration foi explorada por quatro grupos diferentes em ataques reais para roubar dados de e-mail, credenciais de usuário e tokens de autenticação.

"A maior parte dessa atividade ocorreu após a correção inicial ser tornada pública no GitHub," relatou o Google Threat Analysis Group (TAG) em um relatório compartilhado com o The Hacker News.



A falha, rastreada como CVE-2023-37580 (pontuação CVSS: 6.1), é uma vulnerabilidade de script cross-site (XSS) refletido que afeta versões anteriores à 8.8.15 Patch 41.

Foi corrigida pela Zimbra como parte dos patches lançados em 25 de julho de 2023.

A exploração bem-sucedida da vulnerabilidade poderia permitir a execução de scripts maliciosos no navegador web das vítimas simplesmente ao induzi-las a clicar em uma URL especialmente criada, iniciando efetivamente a solicitação XSS para a Zimbra e refletindo o ataque de volta ao usuário.



Google TAG, cujo pesquisador Clément Lecigne foi creditado pela descoberta e relatório do bug, disse que detectou várias ondas de campanhas a partir de 29 de junho de 2023, pelo menos duas semanas antes da Zimbra emitir um aviso.

Três das quatro campanhas foram observadas antes do lançamento do patch, com a quarta campanha sendo detectada um mês após as correções serem publicadas.

A primeira campanha teria visado uma organização governamental na Grécia, enviando e-mails contendo URLs de exploração para seus alvos que, ao serem clicados, entregavam um malware de roubo de e-mail previamente observado em uma operação de ciberespionagem chamada EmailThief em fevereiro de 2022.

O conjunto de intrusões, codinomeado TEMP_HERETIC pela Volexity, também explorou uma falha zero-day na Zimbra para realizar os ataques.

O segundo ator de ameaça a explorar o CVE-2023-37580 foi o Winter Vivern, que visou organizações governamentais na Moldávia e Tunísia logo após o patch para a vulnerabilidade ser lançado no GitHub em 5 de julho.

Vale ressaltar que o coletivo adversário tem sido vinculado à exploração de vulnerabilidades de segurança na Zimbra Collaboration e Roundcube por Proofpoint e ESET, este ano.

O TAG disse que avistou um terceiro grupo, não identificado, que usou o bug antes do lançamento do patch em 25 de julho para tentar obter credenciais pertencentes a uma organização governamental no Vietnã.

"Nesse caso, a URL da exploração apontava para um script que exibia uma página de phishing para as credenciais do webmail dos usuários e postava as credenciais roubadas em uma URL hospedada em um domínio governamental oficial que os atacantes provavelmente comprometeram," observou o TAG.

Por último, uma organização governamental no Paquistão foi atacada usando a falha em 25 de agosto, resultando na exfiltração do token de autenticação da Zimbra para um domínio remoto chamado "ntcpk[.]org".

O Google um padrão em que os atores de ameaças estão regularmente explorando as vulnerabilidades XSS nos servidores de e-mail, necessitando a auditoria completa desses aplicativos.

"A descoberta de pelo menos quatro campanhas explorando o CVE-2023-37580 , três delas após o bug ter se tornaram público, destaca a importância das organizações em aplicar correções em seus servidores de email o mais rápido possível", disse o TAG.

"Essas campanhas também destacam como os invasores monitoram repositórios de código aberto para explorar oportunisticamente as vulnerabilidades onde a correção está no repositório, mas ainda não foi lançada para os usuários".

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...