Zimbra Zero-Day Sicherheitslücke enthüllt
Cyber-Bedrohungen in geschäftlichen E-Mail-Systemen sind in der heutigen digitalen Welt extrem häufig geworden. Kürzlich wurde eine kritische Zero-Day-Schwachstelle in der weit verbreiteten E-Mail-Software Zimbra Collaboration von mehreren Bedrohungsakteuren ausgenutzt, was ein erhebliches Risiko für E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstoken darstellt. Diese Schwachstelle, identifiziert als CVE-2023-37580 mit einem CVSS-Score von 6.1, ist eine reflektierte Cross-Site-Scripting (XSS)-Schwachstelle, die Versionen vor 8.8.15 Patch 41 betrifft. Trotz der schnellen Reaktion von Zimbra mit Patches, die am 25. Juli 2023 veröffentlicht wurden, gab es weiterhin Angriffe in der realen Welt. Dieser Blog beschreibt die Zimbra Zero-Day-Schwachstelle sowie die Maßnahmen, die zur Behebung des Problems ergriffen wurden.
Dynamik der Ausbeutung
Nach den Erkenntnissen der Google Threat Analysis Group (TAG) nutzten vier verschiedene Gruppen diese Schwachstelle in Live-Angriffen aus. Erstaunlich ist, dass die meisten dieser Angriffe stattfanden, nachdem Zimbra das Problem bereits behoben und die Korrektur auf GitHub veröffentlicht hatte. Dies verdeutlicht die Dringlichkeit für Unternehmen, umgehend die Zimbra Sicherheitsupdates.
Zimbra Zero-Day Exploit Übersicht
Die CVE-2023-37580 ermöglichte es Angreifern, bösartige Skripte in den Webbrowsern der Opfer auszuführen, indem sie diese dazu brachten, auf eine speziell gestaltete URL zu klicken. Dies wiederum löste eine Cross-Site-Scripting-Anfrage an Zimbra aus, die den Angriff an den Benutzer weiterleitete. Die Einfachheit dieser Methode unterstreicht, wie wichtig die Wachsamkeit gegenüber E-Mail-Sicherheitsschwachstellen.
Zeitpläne und Ziele der Kampagne
Der TAG-Bericht hob mehrere Kampagnenwellen hervor, die am 29. Juni 2023zwei Wochen vor dem Hinweis von Zimbra. Von den vier Cybersicherheitsbedrohungen in Zimbratraten drei Kampagnen vor der Veröffentlichung des Patches auf, während die vierte einen Monat nach der Veröffentlichung der Korrekturen begann.
- Staatliches Targeting in Griechenland
Die erste Kampagne, eine Schwachstelle im E-Mail-Systemzielte speziell auf eine Regierungsorganisation in Griechenland ab. Über E-Mails wurden Exploit-URLs verschickt, die beim Anklicken eine Malware auslösten, die E-Mails stahl. Diese Operation, die von Volexity als TEMP_HERETIC identifiziert wurde, nutzte neben anderen Taktiken eine Zero-Day-Schwachstelle in Zimbra. - Winter Vivern's Aktivität
Der zweite Akteur, bekannt als Winter Vivern, konzentrierte sich auf Regierungsorganisationen in Moldawien und Tunesien, kurz nachdem der Patch für die Sicherheitslücke auf GitHub verfügbar war. Winter Vivern wurde bereits früher mit mit der Ausnutzung von Roundcube-Schwachstellen und Zimbra Collaboration in Verbindung gebracht, was die Schwere ihrer Aktivitäten noch verstärkt. - Phishing in Vietnam
TAG entdeckte eine dritte, nicht identifizierte Gruppe, die die Sicherheitslücke vor der Veröffentlichung des Patches ausnutzte. Diese Gruppe versuchte, Anmeldedaten von einer Regierungsorganisation in Vietnam zu ergaunern, indem sie eine Exploit-URL verwendete, die Benutzer auf eine Phishing-Seite leitete. Die gestohlenen Anmeldedaten wurden dann auf einer kompromittierten offiziellen Regierungsdomäne veröffentlicht. - Pakistan im Visier
Die vierte Kampagne zielte am 25. August auf eine Regierungsorganisation in Pakistan ab und führte zur Exfiltration von Zimbra-Authentifizierungs-Tokens zu einer entfernten Domain namens "ntcpk[.]org". Dies unterstreicht die globale Reichweite und Auswirkung solcher Angriffe und verdeutlicht die Wichtigkeit von verbesserten Cybersicherheitsmaßnahmen, die dazu beitragen, jegliche Sicherheitsrisiken für E-Mail-Software.
Die Dringlichkeit rechtzeitiger Korrekturen
Die Entdeckungen von TAG unterstreichen, wie wichtig es für Unternehmen ist, ihre Mailserver umgehend zu reparieren, um sich vor Schutz vor Zero-Day-Schwachstellen. Die Tatsache, dass drei der vier Kampagnen nach dem Bekanntwerden der Schwachstelle stattfanden, unterstreicht die Notwendigkeit eines raschen Handelns. Der Bericht wirft auch ein Licht auf einen besorgniserregenden Trend, bei dem Bedrohungsakteure aktiv Open-Source-Repositories überwachen, um Schwachstellen opportunistisch auszunutzen.
Zimbra E-Mail-Sicherheitsmaßnahmen und künftige Vorbereitungen
Google empfiehlt eine gründliche Überprüfung von Mail-Servern, insbesondere im Hinblick auf XSS-Schwachstellen, da es in diesem Bereich immer wieder zu Angriffen kommt. Die sich entwickelnde Landschaft von Zero-Day-Schwachstellen in E-Mail-SoftwareDie sich entwickelnde Landschaft von Zero-Day-Exploits in E-Mail-Software verlangt von Unternehmen nicht nur Wachsamkeit, sondern auch eine proaktive Bewertung und Verstärkung ihrer Sicherheitsmaßnahmen zu bewerten und zu verstärken, um potenzielle Risiken abzuschwächen.
Schlussfolgerung
Die jüngste Ausnutzung der Schwachstelle in der Zimbra Collaboration-E-Mail-Software führt uns eindringlich vor Augen, wie hartnäckig Cyber-Bedrohungen sind und wie sie sich weiterentwickeln. Da die Bedrohungsakteure immer raffinierter werden, müssen Unternehmen unbedingt einen proaktiven Ansatz für die Cybersicherheit wählen. Die Priorisierung robuster Cybersicherheitsmaßnahmen, wie rechtzeitiges Patchen und eine aufmerksame Überwachung, sind für Unternehmen von größter Bedeutung, um die Risiken im Zusammenhang mit Prävention von Zero-Day-Angriffenund die Widerstandsfähigkeit kritischer Kommunikationssysteme gegen neue Schwachstellen zu gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Angreifern.