Uma falha zero-day no software de e-mail Zimbra Collaboration foi explorada por quatro grupos diferentes em ataques reais para roubar dados de e-mail, credenciais de usuário e tokens de autenticação.
"A maior parte dessa atividade ocorreu após a correção inicial ser tornada pública no GitHub," relatou o Google Threat Analysis Group (TAG) em um relatório compartilhado com o The Hacker News.
A falha, rastreada como
CVE-2023-37580
(pontuação CVSS: 6.1), é uma vulnerabilidade de script cross-site (XSS) refletido que afeta versões anteriores à 8.8.15 Patch 41.
Foi corrigida pela Zimbra como parte dos patches lançados em 25 de julho de 2023.
A exploração bem-sucedida da vulnerabilidade poderia permitir a execução de scripts maliciosos no navegador web das vítimas simplesmente ao induzi-las a clicar em uma URL especialmente criada, iniciando efetivamente a solicitação XSS para a Zimbra e refletindo o ataque de volta ao usuário.
Google TAG, cujo pesquisador Clément Lecigne foi creditado pela descoberta e relatório do bug, disse que detectou várias ondas de campanhas a partir de 29 de junho de 2023, pelo menos duas semanas antes da Zimbra emitir um aviso.
Três das quatro campanhas foram observadas antes do lançamento do patch, com a quarta campanha sendo detectada um mês após as correções serem publicadas.
A primeira campanha teria visado uma organização governamental na Grécia, enviando e-mails contendo URLs de exploração para seus alvos que, ao serem clicados, entregavam um malware de roubo de e-mail previamente observado em uma operação de ciberespionagem chamada EmailThief em fevereiro de 2022.
O conjunto de intrusões, codinomeado TEMP_HERETIC pela Volexity, também explorou uma falha zero-day na Zimbra para realizar os ataques.
O segundo ator de ameaça a explorar o
CVE-2023-37580
foi o Winter Vivern, que visou organizações governamentais na Moldávia e Tunísia logo após o patch para a vulnerabilidade ser lançado no GitHub em 5 de julho.
Vale ressaltar que o coletivo adversário tem sido vinculado à exploração de vulnerabilidades de segurança na Zimbra Collaboration e Roundcube por Proofpoint e ESET, este ano.
O TAG disse que avistou um terceiro grupo, não identificado, que usou o bug antes do lançamento do patch em 25 de julho para tentar obter credenciais pertencentes a uma organização governamental no Vietnã.
"Nesse caso, a URL da exploração apontava para um script que exibia uma página de phishing para as credenciais do webmail dos usuários e postava as credenciais roubadas em uma URL hospedada em um domínio governamental oficial que os atacantes provavelmente comprometeram," observou o TAG.
Por último, uma organização governamental no Paquistão foi atacada usando a falha em 25 de agosto, resultando na exfiltração do token de autenticação da Zimbra para um domínio remoto chamado "ntcpk[.]org".
O Google um padrão em que os atores de ameaças estão regularmente explorando as vulnerabilidades XSS nos servidores de e-mail, necessitando a auditoria completa desses aplicativos.
"A descoberta de pelo menos quatro campanhas explorando o
CVE-2023-37580
, três delas após o bug ter se tornaram público, destaca a importância das organizações em aplicar correções em seus servidores de email o mais rápido possível", disse o TAG.
"Essas campanhas também destacam como os invasores monitoram repositórios de código aberto para explorar oportunisticamente as vulnerabilidades onde a correção está no repositório, mas ainda não foi lançada para os usuários".
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...