Cuatro grupos diferentes están explotando una falla de día cero en el software de correo electrónico de Zimbra Collaboration en ataques del mundo real para robar datos de correo electrónico, credenciales de usuario y tokens de autenticación.
«La mayor parte de esta actividad ocurrió después de que la solución inicial se hizo pública en GitHub», dijo Google Threat Analysis Group (TAG) en un informe.
La falla, identificada como CVE-2023-37580 (puntuación CVSS: 6.1), es una vulnerabilidad de XSS que afecta a las versiones anteriores a 8.8.15 Patch 41 que Zimbra la abordó como parte de los parches lanzados el 25 de julio de 2023.
La explotación exitosa de la deficiencia podría permitir la ejecución de scripts maliciosos en el navegador web de las víctimas simplemente engañándolos para que hagan clic en una URL especialmente diseñada, iniciando efectivamente la solicitud XSS a Zimbra y reflejando el ataque al usuario.
Google TAG, a cuyo investigador Clément Lecigne se le atribuyó el descubrimiento y el informe del error, dijo que descubrió múltiples oleadas de campañas a partir del 29 de junio de 2023, al menos dos semanas antes de que Zimbra emitiera un aviso.
Tres de las cuatro campañas se observaron antes del lanzamiento del parche, y la cuarta campaña se detectó un mes después de que se publicaran las correcciones.
Se dice que la primera campaña se dirigió a una organización gubernamental en Grecia, enviando correos electrónicos que contenían URL de explotación a sus objetivos que, al hacer clic, entregaban un malware de robo de correo electrónico observado previamente en una operación de ciberespionaje denominada EmailThief en febrero de 2022.
El conjunto de intrusión, cuyo nombre en código Volexity es TEMP_HERETIC, también aprovechó una falla de día cero en Zimbra para llevar a cabo los ataques.
El segundo actor de amenazas que explota CVE-2023-37580 es Winter Vivern, que atacó a organizaciones gubernamentales en Moldavia y Túnez poco después de que se enviara un parche para la vulnerabilidad a GitHub el 5 de julio.
Vale la pena señalar que el colectivo adversario ha sido vinculado con la explotación de vulnerabilidades de seguridad en Zimbra Collaboration y Roundcube por parte de Proofpoint y ESET este año.
TAG dijo que detectó a un tercer grupo no identificado explotando el error antes de que se implementara el parche el 25 de julio para robar credenciales pertenecientes a una organización gubernamental en Vietnam.
«En este caso, la URL del exploit apuntaba a un script que mostraba una página de phishing para las credenciales de correo web de los usuarios y publicaba credenciales robadas en una URL alojada en un dominio oficial del gobierno que los atacantes probablemente comprometieron», señaló TAG.
Por último, una organización gubernamental en Pakistán fue atacada utilizando la falla el 25 de agosto, lo que resultó en la exfiltración del token de autenticación Zimbra a un dominio remoto llamado «ntcpk[.]org».
Google señaló además un patrón en el que los actores de amenazas explotan regularmente las vulnerabilidades XSS en los servidores de correo, lo que requiere que dichas aplicaciones sean auditadas minuciosamente.
«El descubrimiento de al menos cuatro campañas que explotan CVE-2023-37580, tres campañas después de que el error se hiciera público por primera vez, demuestra la importancia de que las organizaciones apliquen correcciones a sus servidores de correo lo antes posible», dijo TAG.
«Estas campañas también resaltan cómo los atacantes monitorean los repositorios de código abierto para explotar de manera oportunista las vulnerabilidades donde la solución está en el repositorio, pero aún no se ha entregado a los usuarios».
Fuente y redacción: thehackernews.com
