یک آسیب‌پذیری با شناسه CVE-2023-5593 و شدت 7.8 در Zyxel شناسایی شد. این آسیب‌پذیری به‌دلیل نوشتن خارج از محدوده در حافظه (out-of-bounds write) به مهاجم محلی این امکان را می‌دهد تا با ارسال یک پیام CREATE دستکاری شده، سطح دسترسی خود را افزایش دهد. این نقص امنیتی بر عملکرد ناشناخته مؤلفه CREATE Message Handler تأثیر می‌گذارد. دستکاری ورودی ناشناخته (ورودی مخرب) منجر به آسیب‌پذیری نوشتن خارج از محدوده می‌شود و داده‌ها قبل از پایان یا قبل از شروع در بافر مورد نظر نوشته می‌شوند. این امر بر محرمانگی، یکپارچگی و در دسترس بودن داده‌ها تأثیر می‌گذارد.

محصولات تحت تأثیر
آسیب‌پذیری مذکور محصول Zyxel شامل نرم‌افزار SecuExtender SSL VPN Client مبتنی بر ویندوز (Windows-based) نسخه 4.0.4.0 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء SecuExtender SSL VPN Client (Windows-based) به نسخه 4.0.5.0 اقدام نمایند.

منبع خبر:

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-out-of-boun…

یک آسیب‌پذیری با شناسه CVE-2023-36553 و شدت 9.8 در FortiSIEM  شناسایی شده است. این آسیب‌پذیری مربوط به بخش  Report Server و از نوع Improper neutralization است و منجر به OS command injection  خواهد شد. مهاجم از راه دور و بدون احرازهویت امکان اجرای دستورات از طریق درخواست‌های مخرب API را دارد. به گفته محققان این نقص امنیتی نوع دیگری از آسیب‌پذیری با شناسه CVE-2023-34992 است.

محصولات تحت تاثیر
FortiSIEM نسخه‌های از 4.7 تا 5.4 آسیب‌پذیر می‌باشند.

توصیه‌های امنیتی
به مدیران سیستم‌ها توصیه می‌شود که به نسخه‌های 6.4.3، 6.5.2، 6.6.4، 6.7.6، 7.0.1 یا 7.1.0 و بالاتر ارتقاء دهند. 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-36553
[2] https://www.fortiguard.com/psirt/FG-IR-23-135
[3] https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-…

شواهد حاکی از آن‌ است که مهاجمان امنیتی، از نتایج تغییریافته‌ی جستجو و تبلیغات گوگل سوءاستفاده می‌کنند تا کاربرانی که قصد دانلود نرم‌افزارهایی مانند WinScp‌ دارند را فریب دهند به این صورت که بجای نرم‌افزار مورد‌نظر، به اشتباه بدافزار را نصب کنند. تبلیغ مخرب، کاربر را به یک وب‌سایت در معرض خطر وردپرس  “gameeweb[.]com” هدایت می کند و در نهایت او را به یک سایت فیشینگ (سرقت سایبری) که کنترل آن بدست مهاجم است می‌رساند. مهاجمان از سرویس تبلیغات جستجوی پویای گوگل (Dynamic Search Ads) که به طور خودکار تبلیغاتی را بر اساس محتوای یک سایت تولید می کند، استفاده می‌کنند تا تبلیغات مخربی که قربانیان را به سایت آلوده می برند را ایجاد کنند. هدف نهایی این زنجیره‌‌ی حمله‌ی چند مرحله‌ای و پیچیده، فریب کاربر جهت کلیک برروی وب‌سایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار می‌باشد.
ترافیک از وب‌سایت gaweeweb[.]com به وب‌سایت جعلی winsccp[.] net توسط یک سربرگ(header) ارجاع‌دهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل می‌گردد. اگر ارجاع‌دهنده صحیح نباشد، کاربر به یک ویدئو ازپیش‌ تهیه‌شده در یوتیوب هدایت می‌شود. در نهایت یک فایل به شکل  ("WinSCP_v.6.1.zip") دانلود می‌شود که با یک فایل اجرایی همراه است و هنگام راه‌اندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرار‌داده‌ شده‌است، استفاده می‌کند. DLL، به نوبه خود، یک نصب‌کننده قانونی WinSCP را دانلود و اجرا می‌کند تا ظاهر فریبنده هدف  مهاجم حفظ شود، در حالی که به طور مخفیانه اسکریپت‌های Python ("slv.py" و "wo15.py") را در پس زمینه اجرا می‌کند تا عملیات مخربی از این طریق صورت گیرد. هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترل‌شده توسط مهاجم از راه دور طراحی شده‌اند تا به مهاجمان اجازه ‌دهند دستورات مخرب را روی میزبان اجرا کنند. این اولین بار نیست که از تبلیغات جستجوی پویای گوگل جهت توزیع بدافزار بهره‌برداری می‌شود. اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جستجوی PyCharm بودند با لینک‌هایی به یک وب‌سایت هک شده که یک نصب‌کننده مخرب را دربرداشت، هدایت می‌کرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد می‌کرد.

توصیه‌های امنیتی
به گفته محققان، با توجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده می‌کنند، به احتمال زیاد این اهداف، به افرادی که به دنبال نرم‌افزار WinSCP هستند محدود می‌شود. تنظیمات مسدود‌سازی جغرافیایی استفاده شده در سایت میزبان بدافزار می‌تواند نشانگر این باشد که چه کاربرانی در چه کشور‌ها یا مناطقی قربانی این فریب شده‌اند. محبوبیت بدافزارهای در پوشش تبلیغات(Malvertising) میان مجرمان سایبری در چند سال گذشته افزایش داشته‌است و کمپین های بدافزار متعددی از این تاکتیک برای حملات در ماه های اخیر استفاده کرده‌اند.

منبع خبر:

https://translate.google.com/?sl=auto&tl=en-US&text=Malvertising%20has%20grown%20in%20popularity%20…;

آپاچی هادوپ در حوزه داده‌های بزرگ به‌عنوان یک ابزار کاربردی ظاهر شده است؛ یک چارچوب نرم‌افزاری که از قدرت محاسبات توزیع‌شده به‌منظور پردازش و تجزیه و تحلیل مجموعه‌ داده‌های بسیار بزرگ بهره می‌برد. با این‌حال، به‌تازگی یک آسیب‌پذیری با شناسه CVE-2023-26031 در آن کشف شده است که تهدید قابل‌توجهی برای امنیت هادوپ ایجاد می‌کند و به کاربران محلی این امکان را می‌دهد تا به دسترسی root رسیده و به اطلاعات حساس دسترسی پیدا کنند.این نقص امنیتی اجازه بارگیری کتابخانه‌های مشترک (.so files) از یک مسیر خاص را می‌دهد که در این حالت شامل دایرکتوری "/lib/native/" می‌باشد. مهاجم با ساخت یک کتابخانه libcrypto.so مخرب و قرار دادن آن در یک مسیر قابل دسترس برای نصب Hadoop می‌تواند از این آسیب‌پذیری بهره‌برداری کند. هنگامی که فایل باینری container-executor فراخوانی می‌شود، کتابخانه libcrypto.so مخرب بارگیری شده و به مهاجم امکان دسترسی root را خواهد داد.
آسیب‌پذیری مذکور امکان بهره‌‌برداری از راه دور را نیز دارد. اگر YARN کاربر را از راه دور احرازهویت کرده و تسک‌های ارسال شده توسط وی به‌جای اجرا در کانتینرها، بر روی میزبان فیزیکی اجرا شوند، آسیب‌پذیری می‌تواند برای بهره‌مندی از امتیازهای root از راه دور به‌کار گرفته شود. Apache Hadoop YARN یک مکانیزم مدیریت منابع است که در چارچوب Hadoop استفاده می‌شود. YARN اجازه می‌دهد تا برنامه‌های مختلف با استفاده از منابع سیستم (مانند پردازنده و حافظه) به‌صورت همزمان و موازی اجرا شوند. در واقع، YARN مسئول دسته‌بندی و اختصاص منابع به برنامه‌های مختلف جهت اجرای همزمان آن‌ها در یک سرور یا یک مجموعه از سرورها می‌باشد. برای تشخیص اینکه آیا Hadoop آسیب‌پذیر است یا خیر، می‌توان از دستور readelf جهت بررسی مقدار RUNPATH یا RPATH در فایل باینری container-executor استفاده کرد. اگر هر یک از این مقادیر شامل مسیر نسبی " ./lib/native/ " باشد، سیستم در معرض خطر قرار دارد.

محصولات تحت تأثیر
این آسیب‌پذیری در کتابخانه رزولوشن container-executor در نسخه‌های 3.3.1 تا 3.3.4 Apache Hadoop سیستم‌های لینوکس وجود دارد.

توصیه‌های امنیتی
1. به‌روزرسانی نرم‌افزار Hadoop به آخرین نسخه (3.3.5) بهترین راهکار جهت رفع این آسیب‌پذیری می‌باشد.
2. اگر از کانتینرهای امن YARN استفاده نمی‌کنید، می‌توانید container-executor را غیرفعال کنید. این می‌تواند با حذف مجوز اجرایی، تغییر مالکیت یا حتی حذف خود باینری انجام شود.
3. اگر به‌دلیل شرایط خاصی در حال حاضر نمی‌توانید به نسخه 3.3.5 ارتقاء دهید، می‌توانید باینری container-executor را با نسخه‌ای از 3.3.5 جایگزین کنید. 
4. جهت اطمینان از امنیت سیستم، از دستور readelf برای بررسی مقدار RUNPATH یا RPATH در باینری container-executor استفاده کنید. اگر این مقادیر شامل مسیر نسبی " ./lib/native/ " باشد، باید اقدامات لازم جهت رفع این مسئله را انجام دهید.
5. اطمینان حاصل کنید که دسترسی به مسیرها و فایل‌های مرتبط با Hadoop به افراد غیرمجاز محدود شده است. این اقدام می‌تواند به تقویت امنیت کلی سیستم کمک کند.

منابع خبر:

[1] https://hadoop.apache.org/cve_list.html
[2] https://github.com/advisories/GHSA-94jh-j374-9r3j

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-34062 و شدت 7.5 در directory traversal شناسایی شده است که به سرور HTTP Reactor Netty، (بخش محبوبی از چارچوب Reactor Netty) مربوط می‌شود. این آسیب‌پذیری ممکن است به مهاجم اجازه دسترسی غیرمجاز به فایل‌های حساس را بدهد و منشأ آن به وجود یک نقص در پیاده‌سازی سرور HTTP Reactor Netty بازمی‌گردد که به مهاجم اجازه می‌دهد تا با تغییر URL  بتواند محدودیت‌های امنیتی را دور زده و سیستم فایلِ‌ سیستم آسیب‌پذیر را مدیریت کند. مهاجم با طراحی URLهای خاص، می‌تواند به فایل‌های حساس، از جمله فایل‌های پیکربندی و داده‌های حساس دسترسی پیدا کرده و کد دلخواه خود را اجرا کند.

محصولات تحت تأثیر
آسیب‌پذیری مذکور بر نسخه‌های 1.1.x تا 1.1.13 و نسخه‌های 1.0.x تا 1.0.39 از سرور HTTP Reactor Netty تأثیر می‌گذارد. همچنین، هر برنامه‌ای که از سرور HTTP Reactor Netty برای ارائه منابع ایستا استفاده می‌کند، به احتمال زیاد آسیب‌پذیر می‌باشد.

 توصیه‌های امنیتی
1.  نخستین و مهمترین اقدام، ارتقاء به نسخه‌های به‌روزرسانی‌شده‌ی Reactor Netty HTTP Server می‌باشد. کاربران نسخه‌های 1.1.x باید به نسخه 1.1.13 و کاربران نسخه‌های 1.0.x باید به نسخه 1.0.39 ارتقاء دهند.
2. تنظیمات فایروال می‌تواند کمک کند تا دسترسی به URLهای خاصی که از آسیب‌پذیری بهره‌برداری می‌کنند، محدود شود. فایروال را به‌روز کرده و تنظیمات امنیتی آن را بررسی کنید.
3. از الگوها و رویه‌های امنیتی در برنامه‌ها و سیستم‌های خود استفاده کنید تا از حملات مشابه پیشگیری شود. این امر ممکن است شامل استفاده از تابع‌های امن جهت پردازش URL و مسیرها باشد.
 استفاده از توابع امن جهت پردازش URL و مسیرها به معنای استفاده از توابع و روش‌هایی است که اطمینان حاصل می‌کنند که داده‌های ورودی به‌درستی پردازش می‌شوند و از آسیب‌پذیری‌های مربوط به حملات نظیر تزریق کد (Injection Attacks) جلوگیری می‌شود. در زبان برنامه‌نویسی Python، کتابخانه `urllib` ابزارهای مفیدی جهت پردازش URL ارائه می‌دهد و برای جلوگیری از حملاتی نظیر حمله فوق، می‌توان از توابعی مانند `quote` در پاک‌سازی و ایمن‌سازی URL استفاده کرد.
 

4. اطمینان حاصل کنید که سرویس‌ها و فرآیندهای Reactor Netty HTTP Server با حداقل دسترسی لازم اجرا می‌شوند. این مجوزها باید به‌گونه‌ای تعریف شوند که دسترسی به فایل‌ها و منابع حساس محدود شود.
5. اجرای ارزیابی‌های امنیتی بر روی نرم‌افزار و سرویس‌های مرتبط می‌تواند کمک کند تا آسیب‌پذیری‌های احتمالی شناسایی شده و اقدامات اصلاحی قبل از وقوع حمله صورت پذیرد.

منبع خبر:

[1] https://spring.io/security/cve-2023-34062

اخیراً یک آسیب‌پذیری با شناسه CVE-2023-48219 و شدت 6.1 در ویرایشگر متن وردپرس TinyMCE کشف شده است که به مهاجم امکان تزریق کد مخرب به برنامه‌های وب را خواهد داد.
 

تزریق کد Cross-Site (mXSS) ناشی از مدیریت نادرست گره‌های متنی، طی فرآیند سریال‌سازی می‌باشد که این فرآیند هنگامی رخ می‌دهد که TinyMCE محتوای متن را به فرمت HTML خام تبدیل می‌کند. اگر این گره‌های متنی حاوی کاراکترهای ویژه‌ای باشند که به عنوان نشانگرهای داخلی رزرو شده‌اند، می‌توان آن‌ها را با سایر الگوهای HTML ترکیب کرد تا قطعه‌های مخرب ایجاد کنند.
پس از تجزیه محتوا در بدنه ویرایشگر، این قطعه‌های مخرب می‌توانند لایه پاکسازی اولیه را دور زده و حملات XSS را راه‌اندازی کنند. چنین جهش‌هایی زمانی اتفاق می‌افتد که محتوای HTML سریال‌سازی‌شده قبل از ذخیره در پشته، پردازش می‌شود و یا زمانی که از APIها و افزونه‌های خاصی استفاده می‌شوند، مانند:
`tinymce.Editor.getContent({ format: 'raw' })`
 `tinymce.Editor.resetContent()`
Autosave

ممکن است بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه دهد تا کد جاوا اسکریپت دلخواه خود را در برنامه‌های وب اجرا کند و از این طریق منجر به فعالیت‌های مخرب مختلفی شود که برخی از آن‌ها‌ عبارتند از:
1.    تخریب Session ها و تصاحب حساب‌های کاربری
2.    سرقت اطلاعات حساس کاربران، از جمله رمزهای عبور و جزئیات اطلاعات احرازهویت
3.    هدایت کاربران به وب‌سایت‌های مخرب
4.    تزریق بدافزار در دستگاه‌های کاربر

توصیه‌های امنیتی
1.  به کاربران توصیه می‌شود در اسرع وقت ویرایشگر TinyMCE خود را به نسخه‌های 6.7.3 یا 5.10.9  ارتقاء دهند.
2.  جهت جلوگیری از ورود کدهای مخرب به سیستم می‌توان ایجاد محدودیت‌ها و پاکسازی محتوا را پیاده‌سازی کرد.
3.  از اعتبارسنجی داده‌های ورودی به TinyMCE اطمینان حاصل کرده تا فقط داده‌های معتبر و ایمن ارسال شوند. 
4.  اعمال به موقع به‌روزرسانی‌های امنیتی برای TinyMCE و سایر نرم‌افزارهای مرتبط.

منبع خبر:

[1] https://www.cvedetails.com/cve/CVE-2023-48219/

یک آسیب‌پذیری با شناسه CVE-2023-6111 و شدت 7.8 در مؤلفه nf_tables که بخشی از زیرسیستم netfilter هسته لینوکس می‌باشد کشف شده است که منجر به ارتقاء سطح دسترسی مهاجم خواهد شد.
 این آسیب‌پذیری از نوع use-after-free می‌باشد که به ازای آزاد شدن یک عنصر از حافظه، امکان استفاده از آن عنصر وجود دارد و تابع nft_trans_gc_catchall به‌طور صحیح عنصر مجموعه catchall را از لیست catchall_list حذف نمی‌کند که این امر می‌تواند منجر به آزاد شدن چندباره عنصر مجموعه catchall شود، که ممکن است توسط حملات use-after-free مورد بهره‌برداری قرار میگرد. 

توصیه‌‎های امنیتی
جهت رفع این نقص امنیتی، توصیه می‌شود که لینوکس را به نسخه‌هایی از هسته لینوکس که شامل Commit با شناسه 93995bf4af2c5a99e2a87f0cd5ce547d31eb7630 می‌باشند، ارتقاء دهید.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6111
[2] https://github.com/advisories/GHSA-xgr2-4f4q-m3p9
[3] https://access.redhat.com/security/cve/CVE-2023-6111
[4] https://explore.alas.aws.amazon.com/CVE-2023-6111.html

شرکت مایکروسافت 63 آسیب‌پذیری که به طور گسترده مورد بهره برداری قرارگرفته‌اند را معرفی کرد. از بین این 63 مورد، 3 مورد آن بحرانی(Critical)، ۵۶ مورد مهم (Important) و ۴ مورد دیگر نیز متوسط (Moderate) رتبه‌بندی شده‌ است. شایان ذکر است که از این بین، 5 مورد آن‌ها آسیب‌پذیری روز صفر اعلام شده است که اطلاعات آن‌ها به شرح زیر ارائه می‌شود:

1. CVE-2023-36025: آسیب‌پذیری دور زدن بررسی‌های امنیتی Windows Defender SmartScreen  ویندوز با شدت 8.8 که در سال ۲۰۲۳ به طور گسترده مورد بهره‌برداری قرار گرفت.
2. CVE-2023-36033: آسیب‌پذیری ارتقاء سطح دسترسی در کتابخانه هسته DWM ویندوز با شدت7.8؛ این آسیب‌پذیری می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
3. CVE-2023-36036: آسیب‌پذیری ارتقاء سطح دسترسی درایور Mini Filter فایل‌های ابری ویندوز با شدت 7.8؛ این آسیب‌پذیری نیز می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
4. CVE-2023-36038: آسیب‌پذیری باشدت 8.2 در ASP.NET Core که مهاجم ازاین طریق می‌تواند منجر به حمله انکار سرویس شود.
5.CVE-2023-36413 : آسیب‌پذیری دور زدن بررسی‌های امنیتی Microsoft Office با شدت 6.5

شایان ذکر است که آسیب‌پذیری با شناسه CVE-2022-44698 و شدت 5.4 در ماه دسامبر توسط ماکروسافت رفع شد، همچنین آسیب‌پذیری باشناسه‌هایCVE-2023-24880  (شدت 5.1) نیز در ماه مارس و CVE-2023-32049  (شدت 8.8 ) در ماه جولای رفع شدند. شرکت مایکروسافت دو آسیب‌پذیری با شناسه‌های CVE-2023-36028 و CVE-2023-36397 را نیز در Protected Extensible Authentication Protocol و Pragmatic General Multicast  رفع کرده است که امکان اجرای کد مخرب از راه دور را برای مهاجم فراهم می‌آورند.
به‌روزرسانی که اخیرأ منتشر شده است شامل یک وصله امنیتی برای آسیب‌پذیری با شناسه CVE-2023-38545  و شدت 9.8  می‌باشد که مربوط به یک نقص امنیتی در curl library است. همچنین یک آسیب‌پذیری افشای اطلاعات با شناسه CVE-2023-36052 و شدت 8.6  در Azure CLI  وجود دارد که مهاجم می‌تواند از طریق دستیابی به فایل‌های log ، رمز عبور و نام کاربری کاربران را بازیابی کند.

منبع خبر:

https://thehackernews.com/2023/11/alert-microsoft-releases-patch-updates.html

یک آسیب‌پذیری با شناسه CVE-2023-40363 و شدت 8.1 در IBM شناسایی شده است که به‌دلیل کنترل نامناسب دسترسی‌ها می‌تواند منجر به تغییر  ورودی‌های ناشناخته شود. به‌دلیل استفاده از تنظیمات نادرست مجوز فایل‌ها، مهاجم احراز هویت شده می‌تواند فایل‌های نصب را تغییر دهد که این مسئله منجر به افزایش سطح دسترسی مهاجم در سیستم قربانی خواهد شد و همچنین بر محرمانگی، یکپارچگی و در دسترس بودن داده‌ها تأثیر می‌گذارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات IBM شامل InfoSphere Information Server وInfoSphere Information Server on Cloud نسخه 11.7 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء InfoSphere Information Server و InfoSphere Information Server on Cloud به آخرین نسخه‌های وصله ‌شده اقدام نمایند.

منبع خبر:

[1] https://www.ibm.com/support/pages/node/7070742 

در پی سرقت اطلاعات کاربران، داده‌های ایمیل و توکن‌های احراز هویت آن‌ها توسط مهاجمان، آسیب‌پذیری روز صفر سرویس ایمیل Zimbra، کشف شد. به گفته گروه محققان امنیتی گوگل، بیشتر این حملات پس از ارائه اصلاحات اولیه این نقص برروی سامانه GitHub رخ داد. این نقص امنیتی با شناسه CVE-2023-37580 و شدت 6.1 یک آسیب‌پذیری XSS(reflected cross site scripting) است که خبر آن در ماه جولای ۲۰۲۳ توسط سرویس Zimbra منتشر شد. بهره‌بردرای موفقیت‌آمیز از این نقص می‌تواند منجر به اجرای کد مخرب بر روی مرورگر قربانی شود. 
این امر با فریب قربانی و به سادگی با کلیک کردن برروی یک URL ساختگی انجام می‌شود که درخواست مخرب را به سرور Zimbra ارسال و حمله را بر مرورگر کاربر اجرا می‌کند. محقق گروه امنیتی گوگل که این نقص را کشف و گزارش کرد،  اذعان داشته ‌است: « چند کمپین‌ بهره‌برداری از ماه ژوئن ۲۰۲۳، حداقل دوهفته پیش از ارائه هرتوصیه‌ امنیتی zimbra، کشف شده‌بودند. سه کمپین از چهار کمپین، قبل از انتشار وصله رصد شدند و کمپین چهارم نیز یک ماه پس از انتشار اصلاحات شناسایی شد.»
کمپین اول، ایمیل‌هایی با محتوی URL مخرب را برای کاربران هدف ارسال می‌کرد که هنگامی‌که برروی آن کلیک می‌شد، یک بدافزار سرقت ایمیل را که قبلاً در یک عملیات جاسوسی سایبری به نام EmailThief در فوریه ۲۰۲۳ مشاهده شده بود، ارسال می‌کرد. مجموعه نفوذی کمپین اول، به نام TEMP_HERETIC شناخته شده‌است.

محصولات تحت تأثیر
این نقص امنیتی نسخه‌های قبل از 8.8.15 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
تیم امنیت گوگل به الگویی اشاره کرد که در آن مهاجمان به طور منظم از آسیب‌پذیری‌های XSS در سرورهای ایمیل بهره‌برداری می‌کنند و ضروری‌است که چنین برنامه‌هایی به طور کامل بررسی و امن‌سازی شوند. کشف حداقل چهار کمپین با بهره‌برداری از آسیب‌پذیری با شناسه CVE-2023-37580 و فعال شدن سه کمپین پس از عمومی شدن این نقص امنیتی، حاکی از اهمیت اعمال وصله امنیتی منتشر شده توسط سازمان‌ها در سرورهای پست الکترونیکی خود می‌باشد 

منبع خبر:

https://thehackernews.com/2023/11/zero-day-flaw-in-zimbra-email-software.html?m=1