CVE-2023-37580 Erkennung: Vier Hackergruppen nutzen eine Zimbra Zero-Day-Sicherheitslücke, die staatliche Stellen ins Visier nimmt
Inhaltsverzeichnis:
Schwachstellen, die beliebte Softwareprodukte betreffen, wie Zimbra Collaboration Suite (ZCS), setzen Organisationen in verschiedenen Branchen, einschließlich des öffentlichen Sektors, kontinuierlich einem steigenden Risiko aus. Verteidiger enthüllten mindestens vier offensive Operationen, die eine Zimbra Zero-Day-Schwachstelle ausnutzen, die als CVE-2023-37580 verfolgt wird, speziell entworfen, um sensible Daten von Regierungsstellen in mehreren Ländern zu extrahieren.
Erkennen von CVE-2023-37580-Angriffsversuchen
Mit einer ständig steigenden Anzahl an Exploits, die für den Einsatz in der Wildnis waffenfähig gemacht werden, benötigen Sicherheitsexperten maßgeschneiderten Erkennungsinhalt, um mögliche Angriffe in den frühesten Stadien zu erkennen. Die SOC Prime Platform für kollektive Cyber-Verteidigung aggregiert zwei Sigma-Regeln, die speziell auf CVE-2023-37580-Angriffsversuche abzielen:
Möglicher CVE-2023-37580 (Zimbra Classic Web Client XSS) Angriffsversuch (über Webserver)
Diese Sigma-Regel des SOC Prime Teams hilft, Angriffsversuche der Zimbra Classic Web Client XSS-Schwachstelle zu identifizieren. Die Erkennung ist kompatibel mit 18 SIEM-, EDR-, XDR- und Data-Lake-Lösungen und mit dem MITRE ATT&CK-Rahmenwerk abgebildet, adressierend Initial Access, mit Drive-by Compromise (T1189) als entsprechende Technik.
Eine weitere Sigma-Regel, von unserem erfahrenen Threat Bounty Entwickler Mustafa Gurkam KARAKAYA, erkennt mögliche CVE-2023-37580-Angriffe durch das Senden einer bösartigen XSS-Nutzlast. Der Algorithmus ist kompatibel mit 18 Sicherheitsanalyselösungen und mit MITRE ATT&CK abgebildet, adressierend Taktiken des Initialen Zugriffs und der Entdeckung, mit Exploit Public-Facing Applications (T1190) und File and Directory Discovery (T1083) als Haupttechniken.
Um das gesamte Erkennungsportfolio für aktuelle CVE-Erkennungen zu erkunden, könnten Cyber-Verteidiger auf den Erkannte Erkennungen Button unten klicken. Sofortige Zugriff auf Regeln nehmen, profitieren Sie von umsetzbaren Metadaten und lassen Sie Angreifern keine Chance zuerst zuzuschlagen.
Eifrig, Ihre Fähigkeiten in der Erkennungstechnologie zu entwickeln und zur kollektiven Cyber-Verteidigung beizutragen, während Sie für Ihren Beitrag Geld verdienen? Treten Sie den Reihen von SOC Prime’s Threat Bounty Programm bei, um Ihre Fähigkeiten im Erkennungscoding zu schulen, Ihre Ingenieurkarriere voranzutreiben und Ihren Lebenslauf zu kodieren, während Sie Fachkenntnisse in der Branche bereichern und finanzielle Vorteile für Ihren Beitrag erzielen.
CVE-2023-37580 Analyse
Im Frühsommer 2023 deckte Googles Threat Analysis Group (TAG) einen neuen Zero-Day-Exploit in ZCS auf, der als CVE-2023-37580 verfolgt wird, mit einem Schweregrad von 6,1 (CVSS). Da über 20.000 Unternehmen auf die Zimbra Collaboration Email-Software angewiesen sind, stellt die Entdeckung dieser Sicherheitslücke eine ernsthafte Gefahr für globale Unternehmen in verschiedenen Branchen dar, einschließlich öffentlicher Sektor-Systeme. Seit der Fehleroffenlegung hat TAG vier verschiedene Hackergruppen bei Angriffsversuchen beobachtet, die darauf abzielen, E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstoken zu stehlen. Bemerkenswerterweise ereigneten sich die meisten Einbrüche nach der öffentlichen Offenlegung des ersten Fixes auf GitHub von CVE-2023-37580 auf GitHub.
CVE-2023-37580 ist eine Cross-Site Scripting (XSS) Schwachstelle mittlerer Schwere im Zimbra Classic Web Client, die ZCS-Versionen vor 8.8.15 Patch 41 betrifft. Eine effektive Ausnutzung dieser Schwachstelle ermöglicht die Ausführung bösartiger Skripte auf den Webbrowsern der Opfer, indem sie dazu verleitet werden, auf eine sorgfältig gestaltete URL zu klicken. Diese Aktion löst die XSS-Anfrage an Zimbra aus und reflektiert den Angriff zum Benutzer zurück. Die Abhilfemaßnahmen wurden von Zimbra im entsprechenden Hinweisangesprochen.
Die erste real-weltweite Ausnutzung der Zero-Day-Schwachstelle CVE-2023-37580 Ende Juni 2023 umfasste eine Kampagne, die auf eine Regierungseinrichtung in Griechenland abzielte und E-Mails mit Exploit-URLs, die an die Zielnutzer gesendet wurden, nutzte. Eine weitere Hackergruppe nutzte den Sicherheitsfehler für einen vollen Zeitraum von zwei Wochen aus, beginnend bis der offizielle Patch Ende Juli 2023 veröffentlicht wurde. Verteidiger entdeckten zahlreiche Exploit-URLs, die an Regierungseinrichtungen in Moldawien und Tunesien gerichtet waren. Die Hackergruppe hinter der zweiten Kampagne kann mit Winter Vivern alias UAC-0114in Verbindung gebracht werden, die eine Reihe von Phishing-Angriffen gegen die ukrainische und polnische Regierungseinrichtungen im Februar 2023 startete.
Eine dritte Kampagne kurz vor der offiziellen Patch-Veröffentlichung wurde mit einer unbekannten Gruppe in Verbindung gebracht, die bestrebt war, Anmeldeinformationen von einer Organisation im öffentlichen Sektor in Vietnam zu stehlen.
Im August 2023, nach der Patch-Veröffentlichung, enthüllten Verteidiger eine weitere Kampagne, die CVE-2023-37580 ausnutzte, um gegen öffentliche Institutionen in Pakistan vorzugehen. Hacker missbrauchten den Exploit, um das Zimbra Authentifizierungstoken zu stehlen, das dann an die Domain ntcpk[.]org exfiltriert wurde.
Die Identifizierung einer Reihe offensiver Operationen, die CVE-2023-37580 in verschiedenen Ländern ausnutzen, unterstreicht die dringende Notwendigkeit für globale Unternehmen, Patches umgehend auf ihren Mailservern anzuwenden. Als dringende Minderungsmaßnahmen von CVE-2023-37580 werden Organisationen aufgefordert, die Korrekturen sofort zu installieren und die Software regelmäßig zu aktualisieren, um umfassenden Schutz zu gewährleisten.
Um Ihrem Team zu helfen, Erkennungsingenieur-Operationen zu straffen, während Sie proaktiv gegen Wildbestand Zero-Day-Exploits und andere aufkommende Bedrohungen verteidigen, beginnen Sie mit Uncoder IO, das sub-sekunden Cross-Plattform-Inhaltsübersetzung in mehrere Sprachformate ermöglicht und automatisierte IOC-Verpackung unterstützt.
