Detección CVE-2023-37580: Cuatro Grupos de Hackers Explotan Vulnerabilidad Zero-Day de Zimbra Dirigida a Entidades Estatales
Tabla de contenidos:
Las vulnerabilidades que afectan a productos de software populares, como Zimbra Collaboration Suite (ZCS), continuamente exponen a las organizaciones en múltiples sectores industriales, incluido el sector público, a riesgos crecientes. Se expusieron al menos cuatro operaciones ofensivas que emplean una vulnerabilidad de dÃa cero de Zimbra rastreada como CVE-2023-37580, diseñada especÃficamente para extraer datos sensibles de entidades gubernamentales de varios paÃses.
Detectar Intentos de Explotación de CVE-2023-37580
Con un número creciente de exploits armados para explotación en el entorno real, los profesionales de seguridad requieren contenido de detección adaptado para detectar posibles ataques en las etapas más tempranas. La Plataforma SOC Prime para defensa cibernética colectiva agrega dos reglas Sigma que abordan especÃficamente los intentos de explotación de CVE-2023-37580:
Esta regla Sigma del Equipo SOC Prime ayuda a identificar intentos de explotación de la vulnerabilidad XSS del Cliente Web Clásico de Zimbra. La detección es compatible con 18 soluciones SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK, abordando Acceso Inicial, con Compromiso a través de Descarga (T1189) como técnica correspondiente.
Otra regla Sigma, de nuestro experimentado desarrollador de Threat Bounty Mustafa Gurkam KARAKAYA, detecta posibles intentos de explotación de CVE-2023-37580 enviando una carga útil XSS maliciosa. El algoritmo es compatible con 18 soluciones de análisis de seguridad y está mapeado a MITRE ATT&CK, abordando tácticas de Acceso Inicial y Descubrimiento, con Exploit Public-Facing Applications (T1190) y Descubrimiento de Archivos y Directorios (T1083) como técnicas principales.
Para explorar toda la pila de detección dirigida a la detección de CVE en tendencia, los defensores cibernéticos pueden hacer clic en el Explorar Detecciones botón a continuación. Acceda instantáneamente a las reglas, aproveche los metadatos accionables y no dé ninguna oportunidad a los atacantes de atacar primero.
¿Desea desarrollar sus habilidades en ingenierÃa de detección y contribuir a la defensa cibernética colectiva mientras gana dinero por su contribución? Únase a las filas del Programa Threat Bounty de SOC Prime para capacitar sus habilidades de codificación de detección, avanzar en su carrera de ingenierÃa y codificar su CV, mientras enriquece la experiencia de la industria y gana beneficios financieros por su aportación.
Análisis de CVE-2023-37580
A principios del verano de 2023, el Grupo de Análisis de Amenazas de Google (TAG) reveló un nuevo exploit de dÃa cero en ZCS rastreado como CVE-2023-37580 con un puntaje de severidad de 6.1 (CVSS). Dado que más de 20K empresas dependen del software de correo electrónico Zimbra Collaboration, el descubrimiento de esta brecha de seguridad representa una grave amenaza para las empresas globales en múltiples sectores industriales, incluidos los sistemas del sector público. Desde la divulgación del error, TAG ha observado cuatro colectivos de hackers detrás de intentos de explotación destinados a robar datos de correo electrónico, credenciales de usuario y tokens de autenticación. Notablemente, la mayorÃa de las intrusiones ocurrieron después de la divulgación pública del parche inicial en GitHub.
CVE-2023-37580 es una vulnerabilidad XSS de gravedad media en el Cliente Web Clásico de Zimbra que afecta a las versiones de ZCS anteriores a la 8.8.15 Patch 41. La explotación efectiva de esta vulnerabilidad permite la ejecución de scripts maliciosos en los navegadores web de las vÃctimas al atraerlas a hacer clic en una URL cuidadosamente diseñada. Esta acción desencadena la solicitud XSS a Zimbra y refleja el ataque de vuelta al usuario. Las pautas de remediación han sido abordadas por Zimbra en el aviso correspondiente.
La explotación inicial en el mundo real de la falla de dÃa cero CVE-2023-37580 a finales de junio de 2023 involucró una campaña dirigida a una entidad gubernamental en Grecia aprovechando correos electrónicos con URLs de exploit enviadas a los usuarios objetivo. Otro grupo de hackers aprovechó el error de seguridad durante un perÃodo completo de dos semanas que comenzó hasta la publicación del parche oficial a fines de julio de 2023. Los defensores descubrieron numerosas URLs de exploit dirigidas a entidades gubernamentales en Moldavia y Túnez. El colectivo de hackers detrás de la segunda campaña puede estar vinculado a Winter Vivern aka UAC-0114, que lanzó un conjunto de ataques de phishing contra las entidades gubernamentales de Ucrania y Polonia en febrero de 2023.
Una tercera campaña, solo un par de dÃas antes del lanzamiento del parche oficial, se vinculó a un grupo desconocido que buscaba robar credenciales de una organización del sector público en Vietnam.
En agosto de 2023, tras el lanzamiento del parche, los defensores revelaron otra campaña que utilizaba armamento de CVE-2023-37580 para atacar a las instituciones del sector público en Pakistán. Los hackers abusaron del exploit para robar el token de autenticación de Zimbra, que luego fue exfiltrado al dominio ntcpk[.]org.
La identificación de una serie de operaciones ofensivas explotando CVE-2023-37580 en diferentes paÃses subraya la necesidad crÃtica de que las empresas globales apliquen rápidamente parches a sus servidores de correo. Como medidas urgentes de mitigación de CVE-2023-37580, se insta a las organizaciones a instalar inmediatamente las correcciones y a mantener el software constantemente actualizado para su protección completa.
Para ayudar a su equipo a agilizar las operaciones de ingenierÃa de detección mientras defiende proactivamente contra exploits de dÃa cero reales y otras amenazas emergentes, comience con Uncoder IO, que permite la traducción de contenido multiplataforma en sub-segundos a múltiples formatos de lenguaje y admite el empaquetado automatizado de IOC.
