ClickCease Zimbra Zero-Day Sicherheitslücke enthüllt

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Zimbra Zero-Day Sicherheitslücke enthüllt

von Wajahat Raja

1. Dezember 2023 - TuxCare-Expertenteam

Cyber-Bedrohungen in geschäftlichen E-Mail-Systemen sind in der heutigen digitalen Welt extrem häufig geworden. Kürzlich wurde eine kritische Zero-Day-Schwachstelle in der weit verbreiteten E-Mail-Software Zimbra Collaboration von mehreren Bedrohungsakteuren ausgenutzt, was ein erhebliches Risiko für E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstoken darstellt. Diese Schwachstelle, identifiziert als CVE-2023-37580 mit einem CVSS-Score von 6.1, ist eine reflektierte Cross-Site-Scripting (XSS)-Schwachstelle, die Versionen vor 8.8.15 Patch 41 betrifft. Trotz der schnellen Reaktion von Zimbra mit Patches, die am 25. Juli 2023 veröffentlicht wurden, gab es weiterhin Angriffe in der realen Welt. Dieser Blog beschreibt die Zimbra Zero-Day-Schwachstelle sowie die Maßnahmen, die zur Behebung des Problems ergriffen wurden.


Dynamik der Ausbeutung


Nach den Erkenntnissen der Google Threat Analysis Group (TAG) nutzten vier verschiedene Gruppen diese Schwachstelle in Live-Angriffen aus. Erstaunlich ist, dass die meisten dieser Angriffe stattfanden, nachdem Zimbra das Problem bereits behoben und die Korrektur auf GitHub veröffentlicht hatte. Dies verdeutlicht die Dringlichkeit für Unternehmen, umgehend die
Zimbra Sicherheitsupdates.


Zimbra Zero-Day Exploit Übersicht


Die
CVE-2023-37580 ermöglichte es Angreifern, bösartige Skripte in den Webbrowsern der Opfer auszuführen, indem sie diese dazu brachten, auf eine speziell gestaltete URL zu klicken. Dies wiederum löste eine Cross-Site-Scripting-Anfrage an Zimbra aus, die den Angriff an den Benutzer weiterleitete. Die Einfachheit dieser Methode unterstreicht, wie wichtig die Wachsamkeit gegenüber E-Mail-Sicherheitsschwachstellen.


Zeitpläne und Ziele der Kampagne


Der TAG-Bericht hob mehrere Kampagnenwellen hervor, die am
29. Juni 2023zwei Wochen vor dem Hinweis von Zimbra. Von den vier Cybersicherheitsbedrohungen in Zimbratraten drei Kampagnen vor der Veröffentlichung des Patches auf, während die vierte einen Monat nach der Veröffentlichung der Korrekturen begann.

  1. Staatliches Targeting in Griechenland

    Die erste Kampagne, eine
    Schwachstelle im E-Mail-Systemzielte speziell auf eine Regierungsorganisation in Griechenland ab. Über E-Mails wurden Exploit-URLs verschickt, die beim Anklicken eine Malware auslösten, die E-Mails stahl. Diese Operation, die von Volexity als TEMP_HERETIC identifiziert wurde, nutzte neben anderen Taktiken eine Zero-Day-Schwachstelle in Zimbra.
  2. Winter Vivern's Aktivität

    Der zweite Akteur, bekannt als Winter Vivern, konzentrierte sich auf Regierungsorganisationen in Moldawien und Tunesien, kurz nachdem der Patch für die Sicherheitslücke auf GitHub verfügbar war. Winter Vivern wurde bereits früher mit
    mit der Ausnutzung von Roundcube-Schwachstellen und Zimbra Collaboration in Verbindung gebracht, was die Schwere ihrer Aktivitäten noch verstärkt.
  3. Phishing in Vietnam

    TAG entdeckte eine dritte, nicht identifizierte Gruppe, die die Sicherheitslücke vor der Veröffentlichung des Patches ausnutzte. Diese Gruppe versuchte, Anmeldedaten von einer Regierungsorganisation in Vietnam zu ergaunern, indem sie eine Exploit-URL verwendete, die Benutzer auf eine Phishing-Seite leitete. Die gestohlenen Anmeldedaten wurden dann auf einer kompromittierten offiziellen Regierungsdomäne veröffentlicht.
  4. Pakistan im Visier

    Die vierte Kampagne zielte am 25. August auf eine Regierungsorganisation in Pakistan ab und führte zur Exfiltration von Zimbra-Authentifizierungs-Tokens zu einer entfernten Domain namens "ntcpk[.]org". Dies unterstreicht die globale Reichweite und Auswirkung solcher Angriffe und verdeutlicht die Wichtigkeit von verbesserten Cybersicherheitsmaßnahmen, die dazu beitragen, jegliche
    Sicherheitsrisiken für E-Mail-Software.


Die Dringlichkeit rechtzeitiger Korrekturen


Die Entdeckungen von TAG unterstreichen, wie wichtig es für Unternehmen ist, ihre Mailserver umgehend zu reparieren, um sich vor
Schutz vor Zero-Day-Schwachstellen. Die Tatsache, dass drei der vier Kampagnen nach dem Bekanntwerden der Schwachstelle stattfanden, unterstreicht die Notwendigkeit eines raschen Handelns. Der Bericht wirft auch ein Licht auf einen besorgniserregenden Trend, bei dem Bedrohungsakteure aktiv Open-Source-Repositories überwachen, um Schwachstellen opportunistisch auszunutzen.


Zimbra E-Mail-Sicherheitsmaßnahmen und künftige Vorbereitungen


Google empfiehlt eine gründliche Überprüfung von Mail-Servern, insbesondere im Hinblick auf XSS-Schwachstellen, da es in diesem Bereich immer wieder zu Angriffen kommt. Die sich entwickelnde Landschaft von
Zero-Day-Schwachstellen in E-Mail-SoftwareDie sich entwickelnde Landschaft von Zero-Day-Exploits in E-Mail-Software verlangt von Unternehmen nicht nur Wachsamkeit, sondern auch eine proaktive Bewertung und Verstärkung ihrer Sicherheitsmaßnahmen zu bewerten und zu verstärken, um potenzielle Risiken abzuschwächen.


Schlussfolgerung

 

Die jüngste Ausnutzung der Schwachstelle in der Zimbra Collaboration-E-Mail-Software führt uns eindringlich vor Augen, wie hartnäckig Cyber-Bedrohungen sind und wie sie sich weiterentwickeln. Da die Bedrohungsakteure immer raffinierter werden, müssen Unternehmen unbedingt einen proaktiven Ansatz für die Cybersicherheit wählen. Die Priorisierung robuster Cybersicherheitsmaßnahmen, wie rechtzeitiges Patchen und eine aufmerksame Überwachung, sind für Unternehmen von größter Bedeutung, um die Risiken im Zusammenhang mit Prävention von Zero-Day-Angriffenund die Widerstandsfähigkeit kritischer Kommunikationssysteme gegen neue Schwachstellen zu gewährleisten.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Angreifern.

Zusammenfassung
Zimbra Zero-Day Sicherheitslücke enthüllt
Artikel Name
Zimbra Zero-Day Sicherheitslücke enthüllt
Beschreibung
Informieren Sie sich über den kritischen Zimbra Zero-Day Exploit und die damit verbundenen Risiken und Schutzmaßnahmen und sichern Sie Ihre E-Mail-Systeme noch heute.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!