.
Uma vulnerabilidade no software do Zimbra está sendo explorada agora por malfeitores para comprometer sistemas e atacar organizações governamentais selecionadas, avaliam os especialistas.
Uma atualização para eliminar o bug de segurança não será lançada até o final deste mês, de acordo com o desenvolvedor, que por enquanto “gentilmente” pediu aos clientes que aplicassem manualmente uma correção.
A falha afeta o Zimbra Collaboration Suite versão 8.8.15 e “poderia impactar a confidencialidade e integridade de seus dados”, de acordo com um consultivo do fabricante do software. Em outras palavras, o bug pode ser explorado para roubar ou alterar informações entre outras coisas.
A Zimbra disse que entregará a correção em uma atualização de software oficial em julho. No entanto, “entendemos que você pode querer agir mais cedo ou mais tarde para proteger seus dados”, acrescentou o provedor de software de e-mail. “Para manter o mais alto nível de segurança, pedimos sua cooperação para aplicar a correção manualmente em todos os nós de sua caixa de correio.”
Isso pode não ser uma má ideia, pois acredita-se que a falha esteja sendo explorada ativamente; embora isso seja limitado em escopo no momento, pode aumentar com o passar dos dias e semanas.
Clément Lecigne, pesquisador do Grupo de Análise de Ameaças do Google, detectou a vulnerabilidade “sendo usada em estado selvagem em um ataque direcionado”. de acordo com TAG colega Maddie Stone na quinta-feira.
Atores de ameaças podem roubar informações confidenciais do usuário ou executar códigos maliciosos em sistemas vulneráveis
E embora os Googlers não tenham fornecido detalhes adicionais sobre quem estava sendo visado e como, os pesquisadores do EclecticIQ disseram na segunda-feira que é possível que o bug esteja sendo usado em ataques cross-site scripting (XSS) direcionados a organizações governamentais na Ucrânia, Espanha, Indonésia e França. .
“Como parte dos ataques XSS, os agentes de ameaças podem roubar informações confidenciais do usuário ou executar códigos maliciosos em sistemas vulneráveis que afetam o Zimbra Collaboration Suite versão 8.8.15”, disse Arda Büyükkaya, analista da EclecticIQ. explicado hoje.
Essencialmente, o que parece estar acontecendo é o seguinte, de acordo com Büyükkaya: alguém provavelmente sequestrou “servidores de e-mail Zimbra e Roundcube de propriedade do governo e os usou para enviar e-mails de spearphishing para outras entidades governamentais”. O EclecticIQ tem muita confiança no que está acontecendo e acredita com menos confiança que a falha XSS mencionada acima foi usada para comprometer os servidores de e-mail.
Fomos informados de que os analistas do EclecticIQ viram 12 e-mails de phishing enviados nesta campanha, que começou em janeiro de 2023.
Depois de entrar nos servidores de e-mail, os invasores usaram esses sistemas para enviar e-mails de phishing contendo alertas falsos de notificação de manutenção do Zimbra para suas vítimas, ao que parece. Os e-mails continham um link que levava marcas a uma página de login de e-mail falsa do Zimbra e permitia que os criminosos coletassem as credenciais dos usuários.
Cheira a Rússia
Considerando que o relatório revela que a maioria dos e-mails de phishing foram enviados para usuários de e-mail Zimbra na Ucrânia – incluindo a Polícia Nacional na região de Kiev – não é tão chocante que o EclecticIQ diga que os criminosos russos provavelmente são os responsáveis pelos ataques.
Um dos e-mails especificava um endereço de resposta do Gmail que, segundo a equipe de segurança, “provavelmente pertence ou é controlado pelo agente da ameaça”. É semelhante a outro endereço de e-mail vinculado a uma conta no fórum cibernético de língua russa Exploit[dot]em.
“No entanto, como esses fóruns são acessíveis internacionalmente, não é uma prova definitiva da origem ou nacionalidade do ator”, disse Büyükkaya.
Isso nos lembra de um alerta em março deste ano de que criminosos russos estavam explorando bugs do Zimbra para invadir sistemas de e-mail do governo.
Na época, os analistas da Proofpoint disseram ter visto uma campanha pró-Rússia anel espião abusar das falhas do Zimbra para atingir funcionários eleitos dos EUA e seus funcionários, além de legisladores da União Européia.
Os bisbilhoteiros – que Faixas de prova como TA473, o CERT ucraniano nomeou UAC-0114e outros pesquisadores de segurança privada chamam de Winter Vivern – foram cronometrado por DomainTools em 2021 e estão ativos desde dezembro de 2020.
Em março de 2023, a Proofpoint disse que campanhas de phishing direcionadas a agências governamentais europeias exploraram o CVE-2022-27926, uma vulnerabilidade XSS crítica nas versões 9.0.0 do Zimbra Collaboration que alimenta os portais de webmail voltados para o público. O fornecedor corrigiu esse buraco em março de 2022.
E em agosto passado, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos Estados Unidos e o Centro de Análise e Compartilhamento de Informações de Vários Estados (MS-ISAC) alertaram que os cibercriminosos estavam explorando ativamente cinco vulnerabilidades no Zimbra Collaboration Suite para invadir redes governamentais e do setor privado.
As organizações que não corrigiram imediatamente seus sistemas de e-mail Zimbra deveriam presumir que criminosos encontraram e exploraram esses bugs e deveriam começar a caçar atividades maliciosas nas redes de TI, disse o Tio Sam na época. ®
.
