O Threat Analysis Group (TAG) do Google revelou na quinta-feira que um dia zero do Zimbra Collaboration Suite foi explorado no início deste ano para roubar dados de e-mail de organizações governamentais em vários países.
A existência da vulnerabilidade, rastreada como CVE-2023-37580, tornou-se pública em meados de julho, quando a Zimbra notificou os clientes sobre sua solução de servidor de e-mail.
A falha, descrita como um bug refletido de script entre sites (XSS), permite que um invasor execute código malicioso enviando e-mails contendo URLs especialmente criados para a organização visada.
Para que a exploração seja executada com sucesso, o usuário alvo precisa clicar no link malicioso enquanto é autenticado em uma sessão do Zimbra.
Pouco depois do Zimbra anunciar um patch oficial em 25 de julho, o TAG do Google alertou que a exploração em estado selvagem havia sido observada, mas não compartilhou nenhuma informação sobre os ataques.
O gigante da internet revelou agora que viu o primeira campanha explorando CVE-2023-37580 em 29 de junho. Esta campanha tinha como alvo uma organização governamental na Grécia e o invasor aproveitou uma estrutura previamente documentada para roubar e-mails e anexos. A estrutura também pode ser usada para encaminhar emails automaticamente para endereços controlados pelo invasor.
Aproximadamente uma semana depois que o Google detectou esta campanha, em 5 de julho, o Zimbra publicou um hotfix para a vulnerabilidade em seu repositório GitHub, mas um patch oficial ainda não havia sido lançado.
Então, em 11 de julho, o Google observou uma segunda campanha explorando o dia zero do Zimbra, desta vez visando organizações governamentais na Moldávia e na Tunísia. A empresa relacionou os ataques ao Winter Vivern, um APT russo conhecido por usar explorações do Zimbra, inclusive em ataques dirigidos a países da OTAN.
A Zimbra publicou um comunicado de segurança em 13 de julho para alertar os clientes sobre a vulnerabilidade. No entanto, antes do patch oficial ser lançado em 25 de julho, o Google se deparou com uma terceira campanha, que tinha como alvo uma organização governamental no Vietnã. Nesse caso, o invasor aproveitou a exploração para levar os usuários a uma página de phishing que os instruiu a inserir suas credenciais de webmail.
Depois que o patch foi lançado pelo Zimbra, o Google detectou uma quarta campanha, visando uma organização governamental no Paquistão.
“A descoberta de pelo menos quatro campanhas explorando CVE-2023-37580, três campanhas após o bug se tornar público, demonstra a importância de as organizações aplicarem correções em seus servidores de e-mail o mais rápido possível”, disse o Google.
Acrescentou: “Essas campanhas também destacam como os invasores monitoram repositórios de código aberto para explorar vulnerabilidades de forma oportunista onde a correção está no repositório, mas ainda não foi liberada para os usuários. Os atores por trás da Campanha #2 começaram a explorar o bug depois que a correção foi enviada ao Github, mas antes que Zimbra divulgasse publicamente o comunicado com conselhos de correção.”
Catálogo de vulnerabilidades exploradas conhecidas da CISA inclui sete outras falhas do Zimbra Collaboration Suite, a maioria descoberta em 2022.