🔥 Ủy ban nhân thị trấn Đăk Hà, huyện Đăk Hà, tỉnh Kon tum đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Đầu tư, khai thác thủy lợi và nước sạch nông thôn đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Chất Bình đã đăng ký tín nhiệm. 🔥                    🔥 Cổng dịch vụ công tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện 09 đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng zero-day trong phần mềm email Zimbra đã bị nhiều nhóm tin tặc khai thác

17/11/2023

Lỗ hổng zero-day trong phần mềm email Zimbra Collaboration đã bị bốn nhóm tin tặc khác nhau khai thác trong các cuộc tấn công trong thực tế để lấy cắp dữ liệu email, thông tin xác thực của người dùng và mã token xác thực.

Trong một báo cáo, Nhóm phân tích mối đe dọa của Google (TAG) cho biết “hầu hết các hoạt động này xảy ra sau khi bản vá ban đầu được công khai trên GitHub”.

Lỗ hổng có định danh CVE-2023-37580 (điểm CVSS: 6.1), là một lỗi reflected cross-site scripting (XSS) ảnh hưởng đến các phiên bản trước bản vá 8.8.15 41. Nó đã được Zimbra giải quyết vào ngày 25 tháng 7 năm 2023.

Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi các tập lệnh độc hại trên trình duyệt web của nạn nhân bằng cách lừa họ nhấp vào một URL độc hại.

Nhà nghiên cứu Clément Lecigne của Google TAG, người đã phát hiện và báo cáo lỗ hổng, cho biết họ đã phát hiện ra nhiều chiến dịch tấn công từ ngày 29 tháng 6 năm 2023, ít nhất hai tuần trước khi Zimbra đưa ra tư vấn bảo mật cho lỗ hổng.

Ba trong số bốn chiến dịch đã được phát hiện trước khi bản vá được phát hành, chiến dịch thứ tư được phát hiện một tháng sau khi bản vá đã có sẵn.

Chiến dịch đầu tiên được cho là nhắm mục tiêu vào một tổ chức chính phủ ở Hy Lạp gằng cách gửi các email chứa URL độc hại tới các mục tiêu của họ, khi nhấp vào URL sẽ dẫn đến việc tải về một mã độc đánh cắp email, từng được phát hiện trước đó trong một hoạt động gián điệp mạng có tên EmailThief vào tháng 2 năm 2022.

Tác nhân đe dọa được Volexity theo dõi với tên TEMP_HERETIC cũng đã khai thác lỗ hổng zero-day đang tồn tại lúc đó trong Zimbra để thực hiện cuộc tấn công.

Chiến dịch thứ hai liên quan đến Winter Vivern, nhắm mục tiêu vào các tổ chức chính phủ ở Moldova và Tunisia ngay sau khi bản vá lỗ hổng được đưa lên GitHub vào ngày 5 tháng 7.

Đáng chú ý là nhóm này có liên quan đến việc khai thác các lỗ hổng bảo mật trong Zimbra CollaborationRoundcube trong năm nay.

Nhóm thứ ba, chưa rõ danh tính, đã lợi dụng lỗi này trước khi bản vá được phát hành để lừa đảo lấy cắp thông tin đăng nhập của một tổ chức chính phủ ở Việt Nam.

Cuối cùng, một tổ chức chính phủ ở Pakistan đã bị tấn công thông qua lỗ hổng này vào ngày 25 tháng 8, dẫn đến việc mã token xác thực Zimbra bị đánh cắp.

Việc phát hiện ít nhất 4 chiến dịch khai thác CVE-2023-37580 cho thấy tầm quan trọng của việc áp dụng các bản sửa lỗi cho máy chủ thư Zimbra càng sớm càng tốt.

TAG cho biết “các chiến dịch này cũng cho thấy cách kẻ tấn công giám sát các kho lưu trữ mã nguồn mở để tìm kiếm cơ hội khai thác các lỗ hổng có bản vá trong kho lưu trữ nhưng chưa được phát hành cho người dùng”.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên theo dõi kênh thông tin của nhà cung cấp để kịp thời cập nhật bản vá cho các hệ thống, ứng dụng đang sử dụng ngay khi nó có sẵn.

Nguồn: thehackernews.com.

scrolltop