Уязвимость в Zimbra использовалась для атак на правительственные учреждения - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Уязвимость в Zimbra использовалась для атак на правительственные учреждения - «Новости»

Выяснилось, что уязвимость нулевого дня в Zimbra Collaboration использовалась сразу четырьмя хак-группами с целью кражи электронной почты, учетных данных пользователей и токенов аутентификации. В основном взлому подвергались правительственные учреждения в Греции, Тунисе, Молдове, Вьетнаме и Пакистане, сообщили исследователи Google Threat Analysis Group (TAG).


Уязвимость, о которой идет речь, получила идентификатор CVE-2023-37580 (6,1 балла по шкале CVSS) и представляет собой отраженную XSS, затрагивающую все версии Zimbra Collaboration до  8.8.15 Patch 41. Эта проблема была устранена Zimbra 25 июля текущего года.


Успешная эксплуатация проблемы позволяет выполнять вредоносные скрипты в браузере жертвы, предварительно вынудив ее перейти по специальному URL-адресу, который инициирует XSS-запрос к Zimbra и отражает атаку обратно к пользователю.


Команда Google TAG, исследователи которой и выявили эту ошибку, сообщает, что обнаружила несколько волн атак на CVE-2023-37580, начиная с 29 июня 2023 года. То есть атаки начались за две недели до того, как Zimbra выпустила патчи. Отмечается, что хакеры могли узнать об ошибке после того, как исправление было предварительно опубликовано на Github 5 июля 2023 года.



Уязвимость в Zimbra использовалась для атак на правительственные учреждения - «Новости»


Первая кампания была направлена на неназванную правительственную организацию в Греции. Хакеры рассылали электронные письма, содержащие вредоносные URL-адреса, при нажатии на которые происходила доставка малвари для хищения писем. Ранее этот вредонос был замечен в рамках шпионской кампании EmailThief в феврале 2022 года.


Вторым злоумышленником, эксплуатирующим CVE-2023-37580, стала группа Winter Vivern, которая атаковала правительственные организации в Молдове и Тунисе, вскоре после того, как на GitHub был опубликован патч для этой уязвимости. Стоит отметить, что эта группировка тоже ранее эксплуатировала уязвимости в Zimbra Collaboration и Roundcube.


Также до выхода патча атаки на CVE-2023-37580 устраивала и третья неизвестная группировка, которая использовала ошибку для сбора учетных данных правительственной организации во Вьетнаме.


«В этом случае URL-адрес эксплоита указывал на скрипт, который отображал фишинговую страницу для получения учетных данных пользователей webmail и передавал украденные учетные данные на URL-адрес, размещенный на официальном правительственном домене, который злоумышленники, вероятно, скомпрометировали», — рассказывают эксперты TAG.


Наконец, 25 августа с помощью уязвимости была атакована неназванная правительственная организация в Пакистане, что привело к утечке аутентификационного токена Zimbra на удаленный домен ntcpk[.]org.


В заключение аналитики Google отмечают, что злоумышленники регулярно эксплуатируют XSS-уязвимости в почтовых серверах, поэтому необходимо регулярно проводить тщательный аудит таких приложений.


«Эти кампании показывают, что злоумышленники внимательно следят за опенсорсными репозиториями, чтобы устраивать оппортунистические атаки на уязвимости, когда исправления уже опубликованы в репозитории, но еще не выпущены для конечных пользователей», — объясняют специалисты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Выяснилось, что уязвимость нулевого дня в Zimbra Collaboration использовалась сразу четырьмя хак-группами с целью кражи электронной почты, учетных данных пользователей и токенов аутентификации. В основном взлому подвергались правительственные учреждения в Греции, Тунисе, Молдове, Вьетнаме и Пакистане, сообщили исследователи Google Threat Analysis Group (TAG). Уязвимость, о которой идет речь, получила идентификатор CVE-2023-37580 (6,1 балла по шкале CVSS) и представляет собой отраженную XSS, затрагивающую все версии Zimbra Collaboration до 8.8.15 Patch 41. Эта проблема была устранена Zimbra 25 июля текущего года. Успешная эксплуатация проблемы позволяет выполнять вредоносные скрипты в браузере жертвы, предварительно вынудив ее перейти по специальному URL-адресу, который инициирует XSS-запрос к Zimbra и отражает атаку обратно к пользователю. Команда Google TAG, исследователи которой и выявили эту ошибку, сообщает, что обнаружила несколько волн атак на CVE-2023-37580, начиная с 29 июня 2023 года. То есть атаки начались за две недели до того, как Zimbra выпустила патчи. Отмечается, что хакеры могли узнать об ошибке после того, как исправление было предварительно опубликовано на Github 5 июля 2023 года. Первая кампания была направлена на неназванную правительственную организацию в Греции. Хакеры рассылали электронные письма, содержащие вредоносные URL-адреса, при нажатии на которые происходила доставка малвари для хищения писем. Ранее этот вредонос был замечен в рамках шпионской кампании EmailThief в феврале 2022 года. Вторым злоумышленником, эксплуатирующим CVE-2023-37580, стала группа Winter Vivern, которая атаковала правительственные организации в Молдове и Тунисе, вскоре после того, как на GitHub был опубликован патч для этой уязвимости. Стоит отметить, что эта группировка тоже ранее эксплуатировала уязвимости в Zimbra Collaboration и Roundcube. Также до выхода патча атаки на CVE-2023-37580 устраивала и третья неизвестная группировка, которая использовала ошибку для сбора учетных данных правительственной организации во Вьетнаме. «В этом случае URL-адрес эксплоита указывал на скрипт, который отображал фишинговую страницу для получения учетных данных пользователей webmail и передавал украденные учетные данные на URL-адрес, размещенный на официальном правительственном домене, который злоумышленники, вероятно, скомпрометировали», — рассказывают эксперты TAG. Наконец, 25 августа с помощью уязвимости была атакована неназванная правительственная организация в Пакистане, что привело к утечке аутентификационного токена Zimbra на удаленный домен ntcpk_
CSS
запостил(а)
Leman
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: