Не менее четырех групп хакеров использовали ранее нераскрытую уязвимость в Zimbra Collaboration Suite (ZCS), что привело к краже данных электронной почты, учетных данных пользователей и токенов аутентификации из правительственных организаций по всему миру.
ZCS — это сервер электронной почты, который также предоставляет услуги календаря, чата и видеоплатформы. Он используется тысячами компаний и сотнями миллионов частных лиц. Его клиенты включают в себя такие организации, как Японский институт передовых наук и технологий, Немецкий институт Макса Планка и Гунунг Севу, известный бизнес-инкубатор в Юго-Восточной Азии.
Уязвимость, обозначенная как CVE-2023-37580, представляет собой отраженную ошибку межсайтового скриптинга (XSS) в почтовом сервере Zimbra. Она была исправлена 25 июля, но исправление стало доступно в общедоступном репозитории GitHub уже 5 июля. Группа анализа угроз Google (TAG) сообщила, что использование уязвимости нулевого дня началось в июне, до того, как Zimbra выпустила исправление.
Первоначально уязвимость нулевого дня была обнаружена в дикой природе в кампании, нацеленной на правительственную организацию в Греции. Злоумышленники рассылали своим целям электронные письма, содержащие URL-адреса эксплойтов. Если цель нажимала на ссылку во время активного сеанса Zimbra, URL-адрес загружал фреймворк, который крал электронные письма пользователей и вложения и устанавливал правило автоматической пересылки на адрес электронной почты, контролируемый злоумышленником.
Последующие кампании были нацелены на правительственные организации в Молдове и Тунисе, правительственную организацию во Вьетнаме и правительственную организацию в Пакистане. В последней кампании использовался эксплойт N-day для кражи токенов аутентификации Zimbra.
Обнаружение по меньшей мере четырех кампаний, использующих CVE-2023-37580, подчеркивает важность своевременного применения организациями исправлений к своим почтовым серверам. Оно также свидетельствует о том, что злоумышленники отслеживают репозитории с открытым исходным кодом, чтобы использовать уязвимости, исправление которых доступно в репозитории, но еще не доступно пользователям.