CVE-2018-6882 XSS-Schwachstelle in der Zimbra Collaboration Suite, die zur Zielung der ukrainischen Regierung ausgenutzt wird, warnt CERT-UA
Inhaltsverzeichnis:
CERT-UA hat kürzlich die globale Gemeinschaft gewarnt vor einer neuartigen bösartigen Aktivität, die auf ukrainische staatliche Institutionen abzielt. Diesmal nutzen nicht namentlich genannte Gegner eine Cross-Site-Scripting-Sicherheitslücke in der Zimbra Collaboration Suite (ZCS) aus, die als CVE-2018-6882 verfolgt wird, um E-Mail-Gespräche der ukrainischen Beamten auszuspionieren. Angesichts der Natur der Bedrohung betrachtet CERT-UA dies als gezielten Angriff, der mit der Kennung UAC-0097 verfolgt wird.
Ausnutzen der Zimbra CVE-2018-6882-Schwachstelle: Angriffsübersicht
Zimbra ist eine Unternehmenslösung für teamübergreifende E-Mail-, Kalender- und Kollaborationssynchronisation, die sowohl in der Cloud als auch lokal eingesetzt werden kann. Über 200.000 Unternehmen weltweit nutzen Zimbra in der Cloud, darunter Organisationen im Finanz- und Regierungssektor, was eine ernsthafte Bedrohung für eine große Anzahl von Kunden darstellt, die potenzielle Opfer von Spear-Phishing-Kampagnen und damit verbundenen Cyberangriffen werden, die Zimbras Sicherheitslücken ausnutzen.
Im März 2018 entdeckten Sicherheitsforscher ein Problem mit mittlerem Schweregrad beim Cross-Site-Scripting (XSS) innerhalb von ZCS. Wird das Problem ausgenutzt, ermöglicht der Fehler den Angreifern, bösartige beliebige Aktionen in ihrem Namen durchzuführen oder Anmeldeseiten zu erstellen, um Benutzerdaten zu stehlen. Der Exploit-Ablauf ist relativ einfach. Hacker müssen das Opfer nur dazu überreden, eine speziell gestaltete E-Mail in ZCS zu öffnen.
Über einen Zeitraum von Dezember 2021 bis Februar 2022 wurde ein weiteres XSS-Zimbra-Problem vermehrt in der Wildnis ausgenutzt, wodurch mehrere europäische Organisationen, darunter Regierungsstellen, mehreren Wellen von Cyberangriffen durch chinesische Hacker ausgesetzt wurden. Die anfänglichen Ausnutzungsversuche griffen auf Erkundungs-E-Mails mit eingebetteten Grafiken zurück, während die zweite Angriffsphase in Form einer Spear-Phishing-Kampagne erfolgte, bei der E-Mails mit verdächtigen URLs verbreitet wurden. Durch das Ausnutzen dieser Zero-Day-Schwachstelle gelang es den Angreifern, auf die angezielten E-Mails zuzugreifen und die Mail-Daten an den C&C-Server der Gegner zu exfiltrieren.
Im Verlauf der jüngsten bösartigen Kampagne, die die betreffende XSS-Schwachstelle ausnutzt, enthielten die unter den ukrainischen Staatsorganen verteilten E-Mails einen Content-Location-Header mit JavaScript-Code, der durch eine Infektionskette zur Ausnutzung der erkannten Schwachstelle in ZCS führte (CVE-2018-6882). Diese XSS-Schwachstelle ermöglicht es Angreifern, bösartigen Skript- oder HTML-Code aus der Ferne in einen Anhang zu injizieren, der über E-Mails mit einem Content-Location-Header gesendet wird. Die Ausnutzung von CVE-2018-6882 ermöglicht die automatische Weiterleitung der kompromittierten E-Mail an eine externe Adresse, was als gezielte Cyber-Spionage-Kampagne angesehen werden kann.
Erkennung und Minderung
Sicherheitsforscher haben den Zimbra-Exploit erfolgreich auf ZCS 8.7.11_GA-1854 (Build 20170531151956) getestet und vermuten, dass das Sicherheitsproblem alle ZCS-Versionen ab 8.5.0 betrifft. Der Fehler wurde behoben in ZCS Version 8.8.7.
Um die Infrastruktur der Organisation vor potenziellen Cyberangriffen zu schützen, die die Zimbra CVE-2018-6882-Schwachstelle ausnutzen, wird den Organisationen dringend empfohlen, ihre Zimbra-Software auf eine sichere Version zu überprüfen und zu aktualisieren. Zusätzlich empfiehlt CERT-UA, bestimmte E-Mail-Einstellungen genau zu überwachen, um Risiken der Datenexfiltration und damit verbundene Spear-Phishing-Angriffe zu verhindern.
Neben den bewährten Sicherheitspraktiken, um die organisatorische Umgebung vor möglichen Zimbra-Exploits zu schützen, bietet CERT-UA Indikatoren für Kompromittierung für den verbundenen Cyberangriff gegen ukrainische Staatsorgane. Um Bedrohungserkennungsaktivitäten zu rationalisieren, können Sicherheitsakteure das Uncoder CTI-Tool von SOC Prime verwenden, um die von CERT-UA bereitgestellten IoCs automatisch in benutzerdefinierte Jagdanfragen umzuwandeln, die in einer ausgewählten SIEM- oder XDR-Umgebung bereit sind. Uncoder CTO ist derzeit kostenlos verfügbar für alle Benutzer, die sich bis zum 25. Mai 2022 auf unserer Detection as Code-Plattform registriert haben.
Mit der Nutzung der Detection as Code-Plattform von SOC Primekönnen Sicherheitsakteure die Bedrohungserkennung und Jagdfähigkeiten nahtlos verbessern und gleichzeitig mit den kontinuierlich aufkommenden Bedrohungen Schritt halten.