در پی سرقت اطلاعات کاربران، دادههای ایمیل و توکنهای احراز هویت آنها توسط مهاجمان، آسیبپذیری روز صفر سرویس ایمیل Zimbra، کشف شد. به گفته گروه محققان امنیتی گوگل، بیشتر این حملات پس از ارائه اصلاحات اولیه این نقص برروی سامانه GitHub رخ داد. این نقص امنیتی با شناسه CVE-2023-37580 و شدت 6.1 یک آسیبپذیری XSS(reflected cross site scripting) است که خبر آن در ماه جولای ۲۰۲۳ توسط سرویس Zimbra منتشر شد. بهرهبردرای موفقیتآمیز از این نقص میتواند منجر به اجرای کد مخرب بر روی مرورگر قربانی شود.
این امر با فریب قربانی و به سادگی با کلیک کردن برروی یک URL ساختگی انجام میشود که درخواست مخرب را به سرور Zimbra ارسال و حمله را بر مرورگر کاربر اجرا میکند. محقق گروه امنیتی گوگل که این نقص را کشف و گزارش کرد، اذعان داشته است: « چند کمپین بهرهبرداری از ماه ژوئن ۲۰۲۳، حداقل دوهفته پیش از ارائه هرتوصیه امنیتی zimbra، کشف شدهبودند. سه کمپین از چهار کمپین، قبل از انتشار وصله رصد شدند و کمپین چهارم نیز یک ماه پس از انتشار اصلاحات شناسایی شد.»
کمپین اول، ایمیلهایی با محتوی URL مخرب را برای کاربران هدف ارسال میکرد که هنگامیکه برروی آن کلیک میشد، یک بدافزار سرقت ایمیل را که قبلاً در یک عملیات جاسوسی سایبری به نام EmailThief در فوریه ۲۰۲۳ مشاهده شده بود، ارسال میکرد. مجموعه نفوذی کمپین اول، به نام TEMP_HERETIC شناخته شدهاست.
محصولات تحت تأثیر
این نقص امنیتی نسخههای قبل از 8.8.15 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
تیم امنیت گوگل به الگویی اشاره کرد که در آن مهاجمان به طور منظم از آسیبپذیریهای XSS در سرورهای ایمیل بهرهبرداری میکنند و ضروریاست که چنین برنامههایی به طور کامل بررسی و امنسازی شوند. کشف حداقل چهار کمپین با بهرهبرداری از آسیبپذیری با شناسه CVE-2023-37580 و فعال شدن سه کمپین پس از عمومی شدن این نقص امنیتی، حاکی از اهمیت اعمال وصله امنیتی منتشر شده توسط سازمانها در سرورهای پست الکترونیکی خود میباشد
منبع خبر:
https://thehackernews.com/2023/11/zero-day-flaw-in-zimbra-email-software.html?m=1
- 94