Vulnerabilidad XSS CVE-2018-6882 en Zimbra Collaboration Suite Aprovechada para Atacar al Gobierno Ucraniano, Advierte CERT-UA
Tabla de contenidos:
CERT-UA ha alertado recientemente a la comunidad global de una nueva actividad maliciosa dirigida a las instituciones estatales ucranianas. Esta vez, adversarios anónimos aprovechan un problema de seguridad de cross-site scripting en Zimbra Collaboration Suite (ZCS) identificado como CVE-2018-6882 para espiar las conversaciones por correo electrónico de los funcionarios ucranianos. En vista de la naturaleza de la amenaza, CERT-UA la considera un ataque dirigido identificado como UAC-0097. the global community of a novel malicious activity aimed at Ukrainian state institutions. This time unnamed adversaries leverage a cross-site scripting security issue in Zimbra Collaboration Suite (ZCS) tracked as CVE-2018-6882 to spy on email conversations of the Ukrainian officials. In view of the threat nature, CERT-UA considers it a targeted attack tracked by the UAC-0097 identifier.
Explotación de la vulnerabilidad Zimbra CVE-2018-6882: Resumen del ataque
Zimbra es una solución empresarial para la sincronización de correo electrónico, calendario y colaboración entre equipos que puede desplegarse tanto en la nube como en las instalaciones locales. Más de 200,000 empresas en todo el mundo utilizan Zimbra en la nube, incluyendo organizaciones en el sector financiero y gubernamental, lo que presenta una seria amenaza para un gran número de clientes que se convierten en víctimas potenciales de campañas de spear-phishing y ciberataques relacionados que explotan las vulnerabilidades de seguridad de Zimbra.
En marzo de 2018, investigadores de seguridad detectaron un problema de cross-site scripting (XSS) de severidad media en ZCS. En caso de explotación, el defecto permite a los adversarios proceder con acciones arbitrarias maliciosas en su nombre o crear señuelos de pantalla de inicio de sesión para robar credenciales de usuario. El flujo de explotación es relativamente simple. Los hackers solo necesitan convencer a la víctima de abrir un correo electrónico especialmente diseñado en ZCS.
Durante el período de diciembre de 2021 a febrero de 2022, otro error XSS de Zimbra se aprovechó cada vez más en campo exponiendo a múltiples organizaciones europeas, incluidas entidades gubernamentales, a varias oleadas de ciberataques atribuidos a hackers chinos. Los intentos iniciales de explotación aprovecharon correos electrónicos de reconocimiento que contenían gráficos incrustados, mientras que la segunda etapa del ataque tomó la forma de una campaña de spear-phishing que distribuía correos electrónicos con URLs sospechosas. Al explotar esta vulnerabilidad de día cero, los atacantes lograron acceder a los correos electrónicos objetivo y exfiltrar los datos de correo al servidor C&C del adversario.
En el transcurso de la campaña maliciosa más reciente que aprovechó el defecto XSS en cuestión, los correos electrónicos distribuidos entre los organismos estatales ucranianos contenían un encabezado de ubicación de contenido con código JavaScript que, a través de una cadena de infección, llevó a la explotación de la vulnerabilidad detectada en ZCS (CVE-2018-6882). Esta vulnerabilidad XSS permite que los adversarios inyecten de manera remota un script malicioso o código HTML en un adjunto enviado a través de correos electrónicos utilizando un encabezado de ubicación de contenido. Aprovechar CVE-2018-6882 permite el reenvío automático del correo electrónico comprometido a una dirección externa, lo que puede considerarse una campaña de ciberespionaje dirigida.
Detección y Mitigación
Investigadores de seguridad han probado con éxito el exploit de Zimbra en ZCS 8.7.11_GA-1854 (build 20170531151956) y sugieren que el problema de seguridad afecta a todas las versiones de ZCS comenzando desde la 8.5.0. El error fue solucionado en la versión 8.8.7 de ZCS.
Para proteger la infraestructura de la organización contra posibles ciberataques que exploten la vulnerabilidad Zimbra CVE-2018-6882, se recomienda encarecidamente que las organizaciones verifiquen y actualicen a una versión segura del software Zimbra. Además, CERT-UA recomienda mantener un estrecho control sobre la configuración específica del correo electrónico para prevenir riesgos de exfiltración de datos y ataques de spear-phishing relacionados.
Además de las mejores prácticas de seguridad para proteger el entorno organizacional contra posibles explotaciones de Zimbra, CERT-UA proporciona indicadores de compromiso para el ciberataque relacionado contra los organismos estatales ucranianos. Para agilizar las actividades de búsqueda de amenazas, los expertos en seguridad pueden usar la herramienta Uncoder CTI de SOC Prime para convertir automáticamente los IoCs proporcionados por CERT-UA en consultas de búsqueda personalizadas listas para ejecutarse en un entorno SIEM o XDR elegido. Uncoder CTO está actualmente disponible sin cargo para todos los usuarios registrados en nuestra plataforma Detection as Code hasta el 25 de mayo de 2022.
Aprovechando la plataforma Detection as Code de SOC Prime, los expertos en seguridad pueden mejorar sin problemas las capacidades de detección y búsqueda de amenazas mientras se mantienen al día con las amenazas emergentes de manera continua.