Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 4. februar 2022 | Emne: Sikkerhed
Forskere har afsløret en aktiv kampagne, der udnytter en nul-dages sårbarhed i Zimbra-e-mail-platformen.
Zimbra er en e-mail-platform tilgængelig under en open source-licens. Ifølge udvikleren understøtter platformen hundredvis af millioner af postkasser placeret i 140 lande.
Den 3. februar sagde cybersikkerhedsforskere fra Volexity, Steven Adair og Thomas Lancaster, at systemet bliver udnyttet af en trusselgruppe, der spores som TEMP_Heretic i en række spyd-phishing-e-mailangreb.
I en sikkerhedsrådgivning sagde Volexity, at kampagnen, kaldet “Operation EmailThief”, blev først opdaget i december 2021 og sandsynligvis er arbejdet af kinesiske cyberkriminelle.
Ifølge teamet er TEMP_Heretic omhyggelig med sit valg af potentielle ofre. Trusselsaktøren vil først udføre rekognoscering og vil bruge tracker-indlejrede e-mails for at se, om en adresse var gyldig, og om et mål endda ville åbne e-mails i første omgang – og i så fald udløses anden fase af angrebskæden.
I alt er 74 unikke Microsoft Outlook-e-mail-adresser blevet brugt til at sende de foreløbige e-mails, som indeholder generiske billeder og emner, herunder invitationer, advarsler og refundering af flybilletter.
TEMP_Heretic sender derefter skræddersyede phishing-e-mails, der indeholder et ondsindet link. De mere målrettede temaer i efterfølgende e-mails var relateret til interviewanmodninger fra nyhedsorganisationer, herunder AFP og BBC, samt invitationer til velgørenhedsmiddage. Andre indsamlede prøver af phishing-e-mail var mere generiske og indeholdt feriehilsener.
Volexity
Ofret skulle være logget ind på Zimbra-webmail-klienten fra en webbrowser, når de åbnede den ondsindede vedhæftede fil & link for at udnyttelsen lykkes — men ifølge Volexity kunne selve linket startes fra andre apps, såsom Outlook eller Thunderbird.
Volexity
Sårbarheden med cross-site scripting (XSS) gør det muligt for angribere at køre vilkårlig JavaScript i sammenhæng med Zimbra-sessionen, hvilket fører til tyveri af maildata, vedhæftede filer og cookies. Derudover kunne cyberkriminelle udnytte en kompromitteret e-mail-konto til at sende yderligere phishing-e-mails eller til at starte opfordringer til offeret om at downloade yderligere malware-nyttelast.
TEMP_HERETIC har tidligere været knyttet til kampagner rettet mod europæiske regeringer og medieorganisationer.
“I skrivende stund har denne udnyttelse ingen tilgængelig patch, og den er heller ikke blevet tildelt en CVE (dvs. dette er en nul-dages sårbarhed),” siger forskerne. “Volexity kan bekræfte og har testet, at de seneste versioner af Zimbra – 8.8.15 P29 & P30 – forbliver sårbare; test af version 9.0.0 indikerer, at den sandsynligvis ikke er påvirket.”
Volexity underrettede Zimbra om udnyttelsesforsøget den 16. december og leverede proof-of-concept (PoC) kode. Zimbra anerkendte rapporten den 28. december og bekræftede over for cybersikkerhedsteamet, at udnyttelsen var gyldig.
Efter at have anmodet om detaljer om en patch i januar, men efter at have modtaget intet svar, offentliggjorde Volexity sine resultater i denne måned. Brugere, der har opgraderet til den seneste version af webmail-klienten, er dog usandsynligt, at de er i fare.
“Brugere af Zimbra bør overveje at opgradere til version 9.0.0, da der i øjeblikket ikke er nogen sikker version af 8.8 .15,” siger forskerne.
ZDNet har kontaktet Zimbra, og vi vil opdatere, når vi hører tilbage.
Tidligere og relateret dækning
Mød CoinStomp: Ny kryptojacking-malware retter sig mod asiatiske cloud-tjenesteudbydere
Trio af RCE CVSS 10 sårbarheder blandt 15 CVE'er i Cisco-routere til små virksomheder
3D-printede kanoner, underjordiske markeder, bombemanualer: politiets undergreb fortsætter
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre