Zimbra este o platformă de e-mail și colaborare care include servicii de mesagerie instantanee, contacte, videoconferințe, partajare de fișiere și capacități de stocare în cloud.
Potrivit Zimbra, peste 200.000 de companii din peste 140 de țări folosesc software-ul lor, inclusiv peste 1.000 de organizații guvernamentale și financiare. La data de 5 iulie 2023, Zimbra a implementat o soluție rapidă (hotfix) pe platforma lor publică de Github, iar pe 13 iulie 2023 au publicat o avertizare inițială cu ghiduri de remediere. Vulnerabilitatea a fost apoi remediată și etichetată cu identificatorul CVE-2023-37580 la data de 25 iulie 2023.
Explozia globală a vulnerabilității
Defectul, descris ca o vulnerabilitate de tip cross-site scripting (XSS), permite unui atacator să execute cod malițios prin trimiterea de e-mailuri care conțin URL-uri special create către organizația vizată.
În iunie 2023, a fost descoperită o exploatare a unei vulnerabilități 'zero-day' la nivel global în Zimbra Collaboration, un server de e-mail folosit de multe organizații pentru a găzdui corespondența electronică. De la descoperirea acestei vulnerabilități au fost observate patru grupuri diferite care exploatează aceeași eroare pentru a fura date e-mail, informații de autentificare și token-uri de autentificare.
Modul în care a fost exploatată vulnerabilitatea
Această vulnerabilitate a fost exploatată activ pentru a fura e-mailuri. Atacatorii au reușit să obțină acces neautorizat la aceste mesaje și să le extragă în scopuri necunoscute. Impactul acestui incident este deosebit de grav, deoarece e-mailurile guvernamentale conțin informații sensibile și secrete, care pot pune în pericol securitatea națională și pot afecta relațiile diplomatice.
Vulnerabilitatea a putut permite de asemenea atacatorilor să efectueze și alte acțiuni malitioase "în contextul sesiunii de webmail Zimbra a utilizatorului", inclusiv:
- Extrage cookie-urile pentru a obține acces persistent la caseta poștală;
- Trimite mesaje de pescuit (phishing) către contactele utilizatorului;
- Afișează prompt-uri pentru descărcarea de malware de pe site-uri de încredere.
Campaniile de exploatare a vulnerabilității
În prima campanie de exploatare cunoscută, a fost descoperită o framework creat pentru a fura e-mailuri. Aceasta a avut loc într-o organizație guvernamentală din Grecia. Atacatorii au trimis e-mailuri care conțineau URL-uri de exploatare la țintele lor. Dacă o persoană vizată a accesat URL-ul pe durata unei sesiuni autentificate în platforma Zimbra, framework-ul folosea eroarea 'zero-day' pentru a accesa și a fura datele e-mail, inclusiv atașamentele acestora. Atacatorii au configurat de asemenea o regulă de redirecționare automată a e-mailurilor către o adresă de e-mail controlată de către ei.
În a doua campanie de exploatare, care a avut loc după ce platforma Zimbra a remediat problema, un alt grup de atacatori a exploata vulnerabilitatea pentru a accesa e-mailurile organizațiilor guvernamentale din Moldova și Tunisia. Atacatorii au trimis URL-uri de exploatare care conțineau adrese de e-mail oficiale ale organizațiilor respective. Grupul Winter Vivern (UNC4907), cunoscut pentru exploatarea vulnerabilităților de tip XSS, a fost identificat ca responsabil pentru această activitate. Această campanie a durat două săptămâni înainte ca remedierea oficială să fie disponibilă.
În a treia campanie de exploatare, și aceasta având loc înainte ca remedierea oficială să fie disponibilă, un al treilea grup de atacatori, neidentificat deocamdată, a exploatat vulnerabilitatea pentru a iniția atacuri de phishing asupra unei organizații guvernamentale din Vietnam. URL-ul de exploatare a redirecționat utilizatorii către o pagină de phishing care solicită credențialele de autentificare în platforma de e-mail Zimbra. Credențialele furate au fost apoi postate pe un website găzduit pe un domeniu oficial al guvernului, care probabil a fost compromis înainte de exploatare.
În a patra campanie de exploatare, identificată după remedierea oficială, un grup de atacatori a continuat să exploateze vulnerabilitatea într-o organizație guvernamentală din Pakistan. Scopul lor a fost să fure un token de autentificare specific platformei Zimbra, care a fost apoi exfiltrat către un domeniu web controlat de către atacatori.
Rolul Grupului de Analiză a Amenințărilor al Google în identificare vulnerabilităților
Grupul de Analiză a Amenințărilor (TAG) este o echipă specializată creată de Google pentru contracararea atacurilor sau dezinformărilor susținute de guverne. TAG monitorizează aproximativ 270 de organizații susținute de guverne din peste 50 de țări.
Grupul de Analiză a Amenințărilor Google (Threat Analysis Group - TAG) împărtășește cercetările pentru a crește gradul de conștientizare și a avansa securitatea în ecosistemul companiilor, cum a fost și situația expusă mai sus privind exploatarea Zimbra. De asemenea, aceștia adaugă toate site-urile și domeniile identificate la Safe Browsing pentru a proteja utilizatorii de exploatări ulterioare.
TAG încurajează utilizatorii și organizațiile să aplice rapid remedierile și să mențină software-ul complet actualizat pentru propria lor protecție. TAG va rămâne concentrat pe detectarea, analiza și prevenirea exploatării de tip 'zero-day', precum și raportarea imediată a vulnerabilităților către furnizori la descoperirea lor.
Se recomandă luarea următoarelor măsuri pentru a bloca atacurile care exploatează această vulnerabilitate 'zero-day':
- Utilizatorii platformei Zimbra ar trebui să analizeze datele de referințare istorice pentru a identifica accesul și referințele suspecte. Locația implicită pentru aceste înregistrări se găsește la /opt/zimbra/log/access*.log;
- Utilizatorii Zimbra ar trebui să ia în considerare actualizarea la versiunea 9.0.0, deoarece în prezent nu există o versiune sigură a versiunii 8.8.15.
Este important ca toate organizațiile care utilizează Zimbra Collaboration să-și actualizeze imediat software-ul și să aplice remedierile de securitate disponibile pentru a preveni astfel de exploatare și furt de date sensibile.