Уязвимость системы безопасности Zimbra, связанная с межсайтовым скриптингом (XSS), активно используется в атаках, нацеленных на европейские СМИ и правительственные организации.
Zimbra — это платформа электронной почты и совместной работы, которая также включает в себя обмен мгновенными сообщениями, контакты, видеоконференции, обмен файлами и возможности облачного хранилища.
По данным Zimbra, ее программное обеспечение используют более 200 000 предприятий из более чем 140 стран, в том числе более 1000 государственных и финансовых организаций.
Атаки связаны с китайским злоумышленником
«На момент написания для этого эксплойта не было доступных патчей, а также ему не был присвоен CVE (т. е. это уязвимость нулевого дня)», — заявили исследователи .«Volexity может подтвердить и протестировать, что самые последние версии Zimbra — 8.8.15 P29 и P30 — остаются уязвимыми; тестирование версии 9.0.0 показывает, что она, вероятно, не затронута».
Volexity говорит, что до сих пор она наблюдала только одного, ранее неизвестного злоумышленника, которого она отслеживала как TEMP_Heretic (предположительно, китайца), который использовал нулевой день в кампаниях целевого фишинга для кражи электронных писем.
Однако уязвимость также может позволить злоумышленникам выполнять другие вредоносные действия «в контексте сеанса веб-почты Zimbra пользователя», в том числе:
- удаление файлов cookie для обеспечения постоянного доступа к почтовому ящику
- рассылка фишинговых сообщений в контакты пользователя
- отображение запроса на загрузку вредоносных программ с надежных веб-сайтов
Нулевой день используется для кражи электронной почты
С тех пор как в декабре началась эксплуатация, Volexity заметила, что TEMP_Heretic проверяет живые адреса электронной почты, используя разведывательные электронные письма со встроенными удаленными изображениями.На следующем этапе атаки злоумышленники рассылали целевые фишинговые электронные письма с вредоносными ссылками и различной тематикой (например, запросы на интервью, приглашения на благотворительные аукционы и поздравления с праздниками) несколькими волнами в период с 16 по декабрь 2021 года.
«После нажатия на вредоносную ссылку инфраструктура злоумышленника попытается перенаправить на страницу на хосте веб-почты Zimbra целевой организации с определенным форматом URI, который — если пользователь вошел в систему — использует уязвимость, позволяющую злоумышленнику загружать произвольный JavaScript в контекст сеанса Zimbra, в котором выполнен вход», — добавили исследователи.
Вредоносный код позволял злоумышленникам просматривать электронные письма в почтовых ящиках жертв и эксфильтровать содержимое и вложения электронной почты на серверы, контролируемые злоумышленниками.
Схема атаки нулевого дня Zimbra (Volexity)
«На момент написания этой статьи не было официального исправления или обходного пути для этой уязвимости. Volexity уведомила Zimbra об эксплойте и надеется, что исправление будет доступно в ближайшее время», — сказали в компании.
«Исходя из данных BinaryEdge, примерно на 33 000 серверов работает почтовый сервер Zimbra, хотя реальное число, вероятно, выше».
Volexity рекомендует принять следующие меры для блокировки атак, использующих этот нулевой день:
- Все индикаторы здесь должны быть заблокированы на уровне почтового шлюза и сети.
- Пользователи Zimbra должны анализировать исторические данные о реферерах на предмет подозрительного доступа и рефереров. Расположение по умолчанию для этих журналов можно найти в /opt/zimbra/log/access*.log.
- Пользователям Zimbra следует подумать об обновлении до версии 9.0.0, так как в настоящее время нет безопасной версии 8.8.15.
Представитель Zimbra был недоступен для комментариев, когда ранее сегодня связался с BleepingComputer.
Перевод - Google
Bleeping Computer
