Κακόβουλοι παράγοντες φαίνεται πως ανακάλυψαν και αξιοποιούν ενεργά, μια ευπάθεια zero-day της Zimbra, για να πραγματοποιούν επιθέσεις σε ευρωπαϊκά μέσα ενημέρωσης και κυβερνητικούς οργανισμούς.
Η Zimbra είναι μια πλατφόρμα ηλεκτρονικού ταχυδρομείου, που περιλαμβάνει επίσης δυνατότητες ανταλλαγής άμεσων μηνυμάτων, επαφών, τηλεδιάσκεψης, κοινής χρήσης αρχείων και αποθήκευσης στο cloud.
Σύμφωνα με τη Zimbra, περισσότερες από 200.000 επιχειρήσεις από πάνω από 140 χώρες χρησιμοποιούν το λογισμικό της, συμπεριλαμβανομένων πάνω από 1.000 κυβερνητικών και χρηματοπιστωτικών οργανισμών.
“Αυτό το exploit δεν έχει καμία διαθέσιμη ενημέρωση κώδικα, ούτε του έχει εκχωρηθεί ένα CVE, γεγονός που το καθιστά μία ευπάθεια zero-day“, είπαν οι ερευνητές.
“Η Volexity μπορεί να επιβεβαιώσει και έχει δοκιμάσει ότι οι πιο πρόσφατες εκδόσεις του Zimbra—8.8.15 P29 & P30 παραμένουν ευάλωτες. Η δοκιμή της έκδοσης 9.0.0 δείχνει ότι είναι πιθανό να μην επηρεάζεται.“
Η Volexity λέει ότι μέχρι στιγμής, παρατήρησε μόνο έναν μεμονωμένο κακόβουλο παράγοντα που είναι γνωστός ως TEMP_Heretic, πιθανώς από την Κίνα, που εκμεταλλεύεται το zero-day σε καμπάνιες spear-phishing για να κλέβει μηνύματα ηλεκτρονικού ταχυδρομείου.
Ωστόσο, η ευπάθεια μπορεί επίσης να επιτρέψει στους εισβολείς να εκτελούν άλλες κακόβουλες ενέργειες “στο πλαίσιο της περιόδου σύνδεσης email Zimbra του χρήστη”, όπως:
- Εξαγωγή cookie για να επιτραπεί η μόνιμη πρόσβαση σε ένα γραμματοκιβώτιο
- Αποστολή μηνυμάτων phishing στις επαφές του χρήστη
- Εμφάνιση προτροπής για λήψη κακόβουλου λογισμικού από φαινομενικά αξιόπιστους ιστότοπους
Από τότε που ξεκίνησε η εκμετάλλευση τον Δεκέμβριο, η Volexity είδε τον TEMP_Heretic να ελέγχει για ζωντανές διευθύνσεις email, χρησιμοποιώντας αναγνωριστικά email με ενσωματωμένες απομακρυσμένες εικόνες.
Στο επόμενο στάδιο της επίθεσης, οι κακόβουλοι χρήστες έστειλαν μηνύματα ηλεκτρονικού spear-phishing με κακόβουλους συνδέσμους και διάφορα θέματα (π.χ. αιτήματα συνεντεύξεων, προσκλήσεις σε φιλανθρωπικές δημοπρασίες και ευχές για τις γιορτές) σε πολλαπλά κύματα μεταξύ μέσα στο Δεκέμβριο του 2021.
“Κάνοντας κλικ στον κακόβουλο σύνδεσμο, η υποδομή του εισβολέα θα επιχειρήσει μια ανακατεύθυνση σε μια σελίδα στον κεντρικό υπολογιστή του ηλεκτρονικού ταχυδρομείου Zimbra του στοχευόμενου οργανισμού, με μια συγκεκριμένη μορφή URI η οποία —αν ο χρήστης είναι συνδεδεμένος— εκμεταλλεύεται μια ευπάθεια που επιτρέπει να γίνει φόρτωση αυθαίρετου JavaScript στο πλαίσιο μιας συνδεδεμένης συνεδρίας Zimbra“, πρόσθεσαν οι ερευνητές.
Ο κακόβουλος κώδικας επιτρέπει στους εισβολείς να περάσουν μέσω email στα γραμματοκιβώτια των θυμάτων και να διεισδύσουν στο περιεχόμενο και τα συνημμένα email σε διακομιστές που ελέγχονταν από τους εισβολείς
Η Volexity συνιστά τη λήψη των ακόλουθων μέτρων για τον αποκλεισμό επιθέσεων που εκμεταλλεύονται αυτή την ευπάθεια:
- Όλες οι ενδείξεις εδώ θα πρέπει να είναι αποκλεισμένες σε επίπεδο πύλης αλληλογραφίας και δικτύου.
- Οι χρήστες Zimbra θα πρέπει να αναλύουν τα δεδομένα παραπομπής για ύποπτη πρόσβαση και παραπομπές.
- Οι χρήστες της Zimbra θα πρέπει να εξετάσουν το ενδεχόμενο αναβάθμισης στην έκδοση 9.0.0, καθώς προς το παρόν δεν υπάρχει ασφαλής έκδοση της 8.8.15.