Détection CVE-2023-37580 : Quatre Groupes de Hackers Exploitent une Vulnérabilité Zero-Day de Zimbra Ciblant des Entités Étatiques
Table des matières :
Les vulnérabilités affectant des logiciels populaires, comme Zimbra Collaboration Suite (ZCS), exposent continuellement les organisations dans divers secteurs, y compris le secteur public, à des risques accrus. Les défenseurs ont découvert au moins quatre opérations offensives utilisant une vulnérabilité zero-day de Zimbra suivie sous le code CVE-2023-37580, spécifiquement conçue pour extraire des données sensibles des entités gouvernementales de plusieurs pays.
Détecter les Tentatives d’Exploitation de CVE-2023-37580
Avec un nombre croissant d’exploits militarisés pour une exploitation en environnement réel, les professionnels de la sécurité ont besoin de contenu de détection personnalisé pour détecter les attaques potentielles dès les premières étapes. La plateforme SOC Prime pour la défense cybernétique collective regroupe deux règles Sigma adressant spécifiquement les tentatives d’exploitation de CVE-2023-37580 :
Cette règle Sigma par l’équipe SOC Prime aide à identifier les tentatives d’exploitation de la vulnérabilité XSS du client Web classique de Zimbra. La détection est compatible avec 18 solutions SIEM, EDR, XDR et Data Lake et est mappée au cadre MITRE ATT&CK, abordant l’Accès Initial, avec Compromission par Drive-By (T1189) en tant que technique correspondante.
Une autre règle Sigma, par notre développeur expert en primes de menace Mustafa Gurkam KARAKAYA, détecte les tentatives d’exploitation possible de CVE-2023-37580 par l’envoi d’une charge utile XSS malveillante. L’algorithme est compatible avec 18 solutions d’analyse de sécurité et mappé à MITRE ATT&CK, abordant les tactiques d’Accès Initial & Découverte, avec Exploitation d’Applications en Accès Public (T1190) et Découverte de Fichiers et Répertoires (T1083) comme techniques principales.
Pour explorer l’ensemble du stack de détection visant la détection des CVE en vogue, les défenseurs cybernétiques peuvent accéder au Explorer les Détections bouton ci-dessous. Accédez instantanément aux règles, profitez des métadonnées exploitables, et ne laissez aucune chance aux attaquants de frapper en premier.
Envisagez-vous de développer vos compétences en ingénierie de détection et de contribuer à la défense cybernétique collective tout en gagnant de l’argent pour votre contribution ? Rejoignez les rangs du Programme de Prime de Menace de SOC Prime pour former vos compétences en codage de détection, avancer dans votre carrière d’ingénieur, et coder votre CV, tout en enrichissant votre expertise industrielle et en gagnant des avantages financiers pour votre contribution.
Analyse de CVE-2023-37580
Au début de l’été 2023, le Groupe d’Analyse des Menaces de Google (TAG) a dévoilé un nouvel exploit zero-day dans ZCS identifié sous le code CVE-2023-37580 avec un score de sévérité de 6,1 (CVSS). Comme plus de 20 000 entreprises s’appuient sur le logiciel de messagerie Zimbra Collaboration, la découverte de cette faille de sécurité constitue une menace sévère pour les entreprises mondiales dans plusieurs secteurs, y compris les systèmes du secteur public. Depuis la divulgation du bug, TAG a observé quatre collectifs de piratage multiples derrière les tentatives d’exploitation visant à voler des données de courriel, des identifiants utilisateur et des jetons d’authentification. Notablement, la plupart des intrusions ont eu lieu après la divulgation publique de la première correction sur GitHub.
CVE-2023-37580 est une vulnérabilité XSS de gravité moyenne dans le client Web classique de Zimbra, affectant les versions de ZCS antérieures à la 8.8.15 Patch 41. L’exploitation efficace de cette vulnérabilité permet l’exécution de scripts malveillants sur les navigateurs Web des victimes en les incitant à cliquer sur une URL soigneusement conçue. Cette action déclenche la requête XSS vers Zimbra et renvoie l’attaque à l’utilisateur. Les recommandations de remédiation ont été abordées par Zimbra dans l’avis correspondant.
L’exploitation en conditions réelles initiale de la faille zero-day CVE-2023-37580 à la fin juin 2023 a impliqué une campagne dirigée contre une entité gouvernementale en Grèce, utilisant des courriels avec des URL exploitées envoyées aux utilisateurs ciblés. Un autre groupe de cybercriminels a profité de la faille de sécurité pendant une période de deux semaines complètes jusqu’à ce que le correctif officiel soit publié fin juillet 2023. Les défenseurs ont découvert de nombreuses URLs d’exploitation dirigées contre des entités gouvernementales en Moldavie et en Tunisie. Le collectif de pirates informatiques derrière la deuxième campagne peut être lié à Winter Vivern alias UAC-0114, qui a lancé une série d’attaques de phishing contre les entités gouvernementales ukrainiennes et polonaises en février 2023.
Une troisième campagne quelques jours seulement avant la publication du correctif officiel a été liée à un groupe inconnu cherchant à voler des identifiants d’une organisation du secteur public au Vietnam.
En août 2023, après la publication du correctif, les défenseurs ont dévoilé une autre campagne armant CVE-2023-37580 pour cibler les institutions du secteur public au Pakistan. Les pirates ont abusé de l’exploit pour voler le jeton d’authentification Zimbra, qui a ensuite été exfiltré vers le domaine ntcpk[.]org.
L’identification d’une série d’opérations offensives exploitant CVE-2023-37580 dans différents pays souligne le besoin critique pour les entreprises mondiales de promptement appliquer des correctifs à leurs serveurs de messagerie. Comme mesures d’atténuation urgentes pour CVE-2023-37580, les organisations sont incitées à installer immédiatement les correctifs et à maintenir le logiciel régulièrement à jour pour leur protection complète.
Pour aider votre équipe à rationaliser les opérations d’ingénierie de détection tout en défendant de manière proactive contre les exploits zero-day en environnement réel et d’autres menaces émergentes, commencez avec Uncoder IO, qui permet une traduction de contenu multi-plateforme en quelques secondes à plusieurs formats de langue et prend en charge l’emballage automatisé des IOC.
