Lỗ hổng zero-day trong phần mềm email Zimbra Collaboration đã bị bốn nhóm tin tặc khác nhau khai thác trong các cuộc tấn công trong thực tế để lấy cắp dữ liệu email, thông tin xác thực của người dùng và mã token xác thực.
Trong một báo cáo, Nhóm phân tích mối đe dọa của Google (TAG) cho biết “hầu hết các hoạt động này xảy ra sau khi bản vá ban đầu được công khai trên GitHub”.
Lỗ hổng có định danh CVE-2023-37580 (điểm CVSS: 6.1), là một lỗi reflected cross-site scripting (XSS) ảnh hưởng đến các phiên bản trước bản vá 8.8.15 41. Nó đã được Zimbra giải quyết vào ngày 25 tháng 7 năm 2023.
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi các tập lệnh độc hại trên trình duyệt web của nạn nhân bằng cách lừa họ nhấp vào một URL độc hại.
Nhà nghiên cứu Clément Lecigne của Google TAG, người đã phát hiện và báo cáo lỗ hổng, cho biết họ đã phát hiện ra nhiều chiến dịch tấn công từ ngày 29 tháng 6 năm 2023, ít nhất hai tuần trước khi Zimbra đưa ra tư vấn bảo mật cho lỗ hổng.
Ba trong số bốn chiến dịch đã được phát hiện trước khi bản vá được phát hành, chiến dịch thứ tư được phát hiện một tháng sau khi bản vá đã có sẵn.
Chiến dịch đầu tiên được cho là nhắm mục tiêu vào một tổ chức chính phủ ở Hy Lạp gằng cách gửi các email chứa URL độc hại tới các mục tiêu của họ, khi nhấp vào URL sẽ dẫn đến việc tải về một mã độc đánh cắp email, từng được phát hiện trước đó trong một hoạt động gián điệp mạng có tên EmailThief vào tháng 2 năm 2022.
Tác nhân đe dọa được Volexity theo dõi với tên TEMP_HERETIC cũng đã khai thác lỗ hổng zero-day đang tồn tại lúc đó trong Zimbra để thực hiện cuộc tấn công.
Chiến dịch thứ hai liên quan đến Winter Vivern, nhắm mục tiêu vào các tổ chức chính phủ ở Moldova và Tunisia ngay sau khi bản vá lỗ hổng được đưa lên GitHub vào ngày 5 tháng 7.
Đáng chú ý là nhóm này có liên quan đến việc khai thác các lỗ hổng bảo mật trong Zimbra Collaboration và Roundcube trong năm nay.
Nhóm thứ ba, chưa rõ danh tính, đã lợi dụng lỗi này trước khi bản vá được phát hành để lừa đảo lấy cắp thông tin đăng nhập của một tổ chức chính phủ ở Việt Nam.
Cuối cùng, một tổ chức chính phủ ở Pakistan đã bị tấn công thông qua lỗ hổng này vào ngày 25 tháng 8, dẫn đến việc mã token xác thực Zimbra bị đánh cắp.
Việc phát hiện ít nhất 4 chiến dịch khai thác CVE-2023-37580 cho thấy tầm quan trọng của việc áp dụng các bản sửa lỗi cho máy chủ thư Zimbra càng sớm càng tốt.
TAG cho biết “các chiến dịch này cũng cho thấy cách kẻ tấn công giám sát các kho lưu trữ mã nguồn mở để tìm kiếm cơ hội khai thác các lỗ hổng có bản vá trong kho lưu trữ nhưng chưa được phát hành cho người dùng”.
Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên theo dõi kênh thông tin của nhà cung cấp để kịp thời cập nhật bản vá cho các hệ thống, ứng dụng đang sử dụng ngay khi nó có sẵn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Plugin WordPress WP Fastest Cache dễ bị tấn công trước một lỗ hổng SQL Injection, có thể cho phép kẻ tấn công không cần xác thực đọc nội dung cơ sở dữ liệu của trang web.
Tín nhiệm mạng | Samsung Electronics đang thông báo với một số khách hàng về một vụ vi phạm dữ liệu đã làm lộ thông tin cá nhân của họ.
Tín nhiệm mạng | VMware đang cảnh báo về một lỗ hổng bảo mật nghiêm trọng chưa có bản vá trong Cloud Director. Lỗ hổng này có thể bị kẻ xấu khai thác để vượt qua các biện pháp bảo vệ xác thực.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về phiên bản Windows của một phần mềm xóa dữ liệu độc hại (Wiper), trước đây từng nhắm mục tiêu vào các hệ thống Linux trong chiến dịch tấn công mạng nhằm vào Israel.
Tín nhiệm mạng | Nhóm ransomware LockBit đã công khai dữ liệu bị đánh cắp từ Boeing, một trong những công ty hàng không vũ trụ lớn nhất chuyên cung cấp các máy bay thương mại và hệ thống phòng thủ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
