اردیبهشت ۹, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

هکر ها و آسیب‌پذیری روز صفر Zimbra

گوگل: سو استفاده هکر ها از آسیب‌پذیری روز صفر Zimbra

تیم تحلیل تهدیدات گوگل TAG عوامل تهدید از یک آسیب پذیری Zero-Day در سرور ایمیل Zimbra برای سرقت داده های حساس از سیستم های دولتی در چندین کشور را کشف کرده است.

هکرها یک مشکل امنیتی با شدت متوسط را که با نام CVE-2023-37580 شناسایی شده است را حدود یک ماه قبل از اینکه فروشنده در نسخه Patch 14 8.8.15 نرم‌افزار تغییراتی ایجاد کند را استفاده کرده‌اند. این نقص یک مشکل XSS است که در وب کلاینت Zimbra میباشد.

CVE-2023-37580

بازه زمانی حمله و پاسخ:

به گفته تحلیلگران گوگل، عوامل تهدید از آسیب‌پذیری سیستم‌های دولتی در یونان، مولداوی، تونس، ویتنام و پاکستان برای سرقت داده‌های ایمیل، مشخصات کاربران، توکن‌های احراز هویت، انجام ارسال ایمیل و هدایت قربانی به صفحات فیشینگ استفاد میکردند.

گوگل 4 عامل تهدید کننده متفاوت را تشخیص داد که از همان آسیب پذیری در اواخر ماه ژوئن سال 2023 علیه یک سازمان دولتی در یونان استفاده کردند که ناشناخته بود.

مهاجمان ایمیل‌هایی با URL مخرب ارسال می‌کردند که امکان استخراج داده‌های ایمیل را فراهم می‌کرد و امکان ارسال مجدد خودکار به یک آدرس تحت کنترل مهاجم را فراهم می‌کرد.

پس از اینکه تحلیلگران گوگل به Zimbra در مورد آسیب پذیری هشدار دادند، Zimbra فورا تغییراتی را روی GitHub خود اعمال کرد.

کمپین دوم در 11 ژوئیه توسط یک عامل تهدید با نام “Winter Vivern” انجام شد که سازمان های دولتی در مولداوی و تونس را هدف قرار داد. URL های سوء استفاده در این مورد جاوا اسکریپت مخرب را روی سیستم های هدف بارگذاری می کنند.

در 13ژوئن،Zimbra یک توصیه امنیتی منتشر کرد که در آن اقدامات کاهشی برای این آسیب‌پذیری توصیه می‌شد، اما هیچ یادداشتی در مورد سوء استفاده فعال هکرها از این اشکال وجود نداشت.

کمپین سوم در 20 ژوئن از سوی یک گروه تهدید ناشناس که یک سازمان دولتی ویتنامی را هدف قرار داده بود آغاز شد. این حملات از یک URL بهره برداری برای هدایت قربانی به یک صفحه فیشینگ استفاده می کردند. پنج روز بعد Zimbra بالاخره یک پچ رسمی برای CVE-2023-37580 منتشر کرد، اما هنوز اطلاعات مربوط به بهره برداری فعال را حذف نمی کند.

گوگل اشاره کرد به اینکه سه عامل تهدید قبل از انتشار اصلاحیه رسمی از این آسیب پذیری سوء استفاده کردند.

در چهارمین کمپین در 25 آگوست، یک عامل تهدید که احتمالاً پس از رسیدگی فروشنده متوجه این اشکال شد، این اشکال بر روی سیستم‌های یک سازمان دولتی پاکستان برای سرقت توکن‌های احراز هویت Zimbra اعمال شد.

گزارشهای گوگل جزئیات زیادی را درباره مهاجمان فاش نکرد، اما همچنان یادآوری کردکه چقدر بروزرسانی های امنیتی به موقع مهم است، حتی زمانی که این آسیب‌پذیری‌ها به آسیب‌پذیری‌های با شدت متوسط مربوط می‌شوند، زیرا مهاجمان ممکن است از آنها برای حمله بیشتر استفاده کنند.

بهره‌برداری از CVE-2023-37580 یکی از نمونه‌های متعدد نقص‌های XSS است که برای حمله به سرورهای ایمیل، مانند CVE-2022-24682 و CVE-2023-5631 استفاده می‌شود، که روی Zimbra و Roundcube تأثیر می‌گذارد.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب