Een zero-day-fout in de e-mailsoftware van Zimbra Collaboration werd door vier verschillende groepen misbruikt bij echte aanvallen om e-mailgegevens, gebruikersgegevens en authenticatietokens te stelen.
“Het grootste deel van deze activiteit vond plaats nadat de initiële oplossing openbaar werd gemaakt op GitHub”, zegt Google Threat Analysis Group (TAG) in een rapport gedeeld met The Hacker News.
De fout, bijgehouden als CVE-2023-37580 (CVSS-score: 6.1), is een weerspiegelde cross-site scripting (XSS) kwetsbaarheid die gevolgen heeft voor versies vóór 8.8.15 Patch 41. De fout is door Zimbra verholpen als onderdeel van patches die op 25 juli zijn uitgebracht. , 2023.
Succesvol misbruik van de tekortkoming zou de uitvoering van kwaadaardige scripts in de webbrowser van de slachtoffers mogelijk kunnen maken, simpelweg door hen te misleiden om op een speciaal vervaardigde URL te klikken, waardoor het XSS-verzoek aan Zimbra effectief wordt geïnitieerd en de aanval wordt teruggekaatst naar de gebruiker.
Google TAG, wiens onderzoeker Clément Lecigne werd gecrediteerd voor het ontdekken en rapporteren van de bug, zei dat het meerdere campagnegolven ontdekte vanaf 29 juni 2023, minstens twee weken voordat Zimbra een advies uitbracht.
Drie van de vier campagnes werden geobserveerd vóór de release van de patch, terwijl de vierde campagne een maand nadat de oplossingen waren gepubliceerd, werd gedetecteerd.
De eerste campagne zou zich hebben gericht op een overheidsorganisatie in Griekenland, waarbij ze e-mails met exploit-URL’s naar hun doelwitten hebben gestuurd die, wanneer erop werd geklikt, een e-mailstelende malware afleverden die eerder werd waargenomen bij een cyberspionageoperatie genaamd EmailThief in februari 2022.
De inbraakset, die Volexity de codenaam TEMP_HERETIC gaf, maakte ook gebruik van een toenmalige zero-day-fout in Zimbra om de aanvallen uit te voeren.
De tweede dreigingsactor die misbruik maakt van CVE-2023-37580 is Winter Vivern, die zich richtte op overheidsorganisaties in Moldavië en Tunesië kort nadat op 5 juli een patch voor de kwetsbaarheid naar GitHub was gepusht.
Het is vermeldenswaard dat het vijandige collectief dit jaar door Proofpoint en ESET in verband is gebracht met de exploitatie van beveiligingskwetsbaarheden in Zimbra Collaboration en Roundcube.
TAG zei dat het een derde, ongeïdentificeerde groep had opgemerkt die de bug als wapen gebruikte voordat de patch op 25 juli werd gepusht om inloggegevens van een overheidsorganisatie in Vietnam te achterhalen.
“In dit geval verwees de exploit-URL naar een script dat een phishing-pagina voor de webmailreferenties van gebruikers weergaf en gestolen inloggegevens plaatste op een URL die werd gehost op een officieel overheidsdomein en die de aanvallers waarschijnlijk hadden gecompromitteerd”, aldus TAG.
Ten slotte werd op 25 augustus een overheidsorganisatie in Pakistan het doelwit van de fout, wat resulteerde in de exfiltratie van het Zimbra-authenticatietoken naar een extern domein met de naam “ntcpk[.]org.”
Google wees verder op een patroon waarin bedreigingsactoren regelmatig XSS-kwetsbaarheden in mailservers misbruiken, waardoor het noodzakelijk is dat dergelijke applicaties grondig worden gecontroleerd.
“De ontdekking van ten minste vier campagnes die gebruik maken van CVE-2023-37580, drie campagnes nadat de bug voor het eerst openbaar werd, toont aan hoe belangrijk het is dat organisaties zo snel mogelijk fixes op hun mailservers toepassen”, aldus TAG.
“Deze campagnes benadrukken ook hoe aanvallers open-source repository’s monitoren om opportunistisch kwetsbaarheden te misbruiken waarvan de oplossing in de repository zit, maar nog niet is vrijgegeven voor gebruikers.”
