Mindestens vier verschiedene Cyberangriffsgruppen haben eine frühere Zero-Day-Sicherheitslücke in der Zimbra Collaboration Suite (ZCS) ausgenutzt, um E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstokens von Regierungsorganisationen auf der ganzen Welt zu stehlen.

ZCS ist ein E-Mail-Server, ein Kalender sowie eine Chat- und Videoplattform, die laut der Zimbra-Website von „Tausenden“ Unternehmen und „Hunderten Millionen“ Einzelpersonen genutzt wird. Seine Kundenorganisationen sind so vielfältig wie das Japan Advanced Institute of Science and Technology, das deutsche Max-Planck-Institut und Gunung Sewu, ein erstklassiges Gründerzentrum in Südostasien.

Der Fehler (CVE-2023-37580) ist eine reflektierte Cross-Site-Scripting (XSS)-Schwachstelle im Zimbra-E-Mail-Server, der am 25. Juli gepatcht wurde, mit einem Hotfix, der am 5. Juli in seinem öffentlichen GitHub-Repository eingeführt wurde. Laut a Bericht der Threat Analysis Group (TAG) von Google Wie Dark Reading mitteilte, begann die Zero-Day-Ausbeutung im Juni, bevor Zimbra Abhilfe anbot.

Vier verschiedene Cyberangriffe auf Regierungen der Welt

Google TAG hat Einzelheiten zu den Regierungskampagnen bekannt gegeben, darunter:

• 29. Juni: Unbekannte Angreifer nehmen Griechenland ins Visier.
• 11. Juli: Die Winter-Vivern-APT-Kampagne zielt auf Moldawien und Tunesien ab.
• 20. Juli: Unbekannte Angreifer nehmen Vietnam ins Visier.
• 25. August: Unbekannte Angreifer nehmen Pakistan ins Visier.

„Die erste In-the-Wild-Entdeckung der Zero-Day-Schwachstelle war eine Kampagne, die auf eine Regierungsorganisation in Griechenland abzielte“, so die Forscher von Google TAG. „Die Angreifer haben E-Mails mit Exploit-URLs an ihre Ziele gesendet.“

Wenn ein Ziel während einer angemeldeten Zimbra-Sitzung auf den Link klickte, wurde über die URL ein Framework geladen, das die E-Mails und Anhänge der Benutzer stiehlt. Außerdem wurde eine automatische Weiterleitungsregel an eine vom Angreifer kontrollierte E-Mail-Adresse eingerichtet.

Die Winter-Vivern-Kampagne dauerte inzwischen zwei Wochen, nachdem sie am 11. Juli begonnen hatte.

„TAG hat mehrere Exploit-URLs identifiziert, die auf Regierungsorganisationen in Moldawien und Tunesien abzielten; Jede URL enthielt eine eindeutige offizielle E-Mail-Adresse für bestimmte Organisationen in diesen Regierungen“, heißt es in der TAG-Analyse.

Die dritte Zero-Day-Kampagne einer unbekannten Gruppe war Teil einer Phishing-Expedition gegen eine Regierungsorganisation in Vietnam.

„In diesem Fall verwies die Exploit-URL auf ein Skript, das eine Phishing-Seite für die Webmail-Anmeldeinformationen der Benutzer anzeigte und gestohlene Anmeldeinformationen an eine URL veröffentlichte, die auf einer offiziellen Regierungsdomäne gehostet wurde, die die Angreifer wahrscheinlich kompromittiert hatten“, erklärten Google-Forscher.

Die vierte Kampagne nutzte einen N-Day-Exploit, um Zimbra-Authentifizierungstoken von einer Regierungsorganisation in Pakistan zu stehlen.

„Die Entdeckung von mindestens vier Kampagnen, die CVE-2023-37580 ausnutzen … zeigt, wie wichtig es für Unternehmen ist, so schnell wie möglich Korrekturen an ihren Mailservern vorzunehmen“, heißt es in der Stellungnahme abschließend. „Diese Kampagnen verdeutlichen auch, wie Angreifer Open-Source-Repositorys überwachen, um opportunistisch Schwachstellen auszunutzen, bei denen sich der Fix im Repository befindet, aber noch nicht für Benutzer freigegeben wurde.“

Cyberangreifer haben es auf Juicy-Mailserver abgesehen

Schwachstellen in E-Mail-Servern werden immer wieder ausgenutzt, daher sollten Unternehmen dem Patchen dieser Schwachstellen Priorität einräumen.

Allein Zimbra wurde von Sicherheitsvorfällen heimgesucht, darunter ein Fehler bei der Remotecodeausführung, der im Oktober 2022 als Zero-Day ausgenutzt wurde und eine Informationsdiebstahlkampagne der nordkoreanischen Nation, bei der ungepatchte Server ausgenutzt wurden. Und im Januar warnte die CISA die Bedrohungsakteure nutzten mehrere CVEs gegen ZCS aus.

Inzwischen letzten Monat Winter Vivern nutzte einen Zero-Day-Fehler in Roundcube Webmail aus Servern, mit einer böswilligen E-Mail-Kampagne, die auf Regierungsorganisationen und eine Denkfabrik in Europa abzielt, die nur verlangt, dass ein Benutzer eine Nachricht liest.

Laut TAG: „Die regelmäßige Ausnutzung von XSS-Schwachstellen in Mailservern zeigt auch die Notwendigkeit einer weiteren Codeprüfung dieser Anwendungen, insbesondere im Hinblick auf XSS-Schwachstellen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide