Bl0ckch41nnewsRobo de credenciales y explotación activa de vulnerabilidades en Zimbra Collaboration
Cuatro grupos diferentes están explotando una falla de día cero en el software
de correo electrónico de Zimbra Collaboration en ataques del mundo real para
robar datos de correo electrónico, credenciales de usuario y tokens de
autenticación.
«La mayor parte de esta actividad ocurrió después de que la solución
inicial se hizo pública en GitHub»,
dijo Google Threat Analysis Group (TAG) en un informe.
La falla, identificada como
CVE-2023-37580
(puntuación CVSS: 6.1), es una vulnerabilidad de XSS que afecta a las
versiones anteriores a 8.8.15 Patch 41 que Zimbra la abordó
como parte de los parches lanzados el 25 de julio de 2023.
La explotación exitosa de la deficiencia podría permitir la ejecución de
scripts maliciosos en el navegador web de las víctimas simplemente
engañándolos para que hagan clic en una URL especialmente diseñada, iniciando
efectivamente la solicitud XSS a Zimbra y reflejando el ataque al usuario.
Google TAG, a cuyo investigador Clément Lecigne se le atribuyó el
descubrimiento y el informe del error, dijo que descubrió múltiples oleadas de
campañas a partir del 29 de junio de 2023, al menos dos semanas antes de que
Zimbra emitiera un aviso.
Tres de las cuatro campañas se observaron antes del lanzamiento del parche, y
la cuarta campaña se detectó un mes después de que se publicaran las
correcciones.
Se dice que la primera campaña se dirigió a una organización gubernamental en
Grecia, enviando correos electrónicos que contenían URL de explotación a sus
objetivos que, al hacer clic, entregaban un malware de robo de correo
electrónico observado previamente en una operación de ciberespionaje
denominada EmailThief en febrero de 2022.
El conjunto de intrusión, cuyo nombre en código Volexity es
TEMP_HERETIC, también aprovechó una falla de día cero en Zimbra para llevar a cabo los
ataques.
El segundo actor de amenazas que explota CVE-2023-37580 es Winter Vivern, que
atacó a organizaciones gubernamentales en Moldavia y Túnez poco después de que
se enviara un parche para la vulnerabilidad a GitHub el 5 de julio.
Vale la pena señalar que el colectivo adversario ha sido vinculado con la
explotación de vulnerabilidades de seguridad en Zimbra Collaboration y
Roundcube por parte de
Proofpoint
y
ESET
este año.
TAG dijo que detectó a un tercer grupo no identificado explotando el error
antes de que se implementara el parche el 25 de julio para robar credenciales
pertenecientes a una organización gubernamental en Vietnam.
«En este caso, la URL del exploit apuntaba a un script que mostraba una
página de phishing para las credenciales de correo web de los usuarios y
publicaba credenciales robadas en una URL alojada en un dominio oficial del
gobierno que los atacantes probablemente comprometieron», señaló TAG.
Por último, una organización gubernamental en Pakistán fue atacada utilizando
la falla el 25 de agosto, lo que resultó en la exfiltración del token de
autenticación Zimbra a un dominio remoto llamado «ntcpk[.]org».
Google señaló además un patrón en el que los actores de amenazas explotan
regularmente las vulnerabilidades XSS en los servidores de correo, lo que
requiere que dichas aplicaciones sean auditadas minuciosamente.
«El descubrimiento de al menos cuatro campañas que explotan CVE-2023-37580,
tres campañas después de que el error se hiciera público por primera vez,
demuestra la importancia de que las organizaciones apliquen correcciones a
sus servidores de correo lo antes posible», dijo TAG.
«Estas campañas también resaltan cómo los atacantes monitorean los
repositorios de código abierto para explotar de manera oportunista las
vulnerabilidades donde la solución está en el repositorio, pero aún no se ha
entregado a los usuarios».
Fuente:
THN
Los comentarios están cerrados.