Vulnerabilità XSS CVE-2018-6882 nella Zimbra Collaboration Suite sfruttata per colpire il governo ucraino, avverte CERT-UA

CERT-UA ha recentemente avvisato la comunità globale di una nuova attività malevola mirata contro le istituzioni statali ucraine. Questa volta avversari ignoti sfruttano un problema di sicurezza di cross-site scripting nella Zimbra Collaboration Suite (ZCS) tracciato come CVE-2018-6882 per spiare le conversazioni email degli ufficiali ucraini. In considerazione della natura della minaccia, CERT-UA la considera un attacco mirato tracciato dall’identificativo UAC-0097.

Sfruttamento della Vulnerabilità Zimbra CVE-2018-6882: Panoramica dell’Attacco

Zimbra è una soluzione aziendale per la sincronizzazione di email, calendari e collaborazione tra team che può essere implementata sia nel cloud che in loco. Oltre 200.000 aziende in tutto il mondo utilizzano Zimbra nel cloud, comprese le organizzazioni nei settori finanziario e governativo, il che rappresenta una seria minaccia per un gran numero di clienti che diventano potenziali vittime di campagne di spear-phishing e attacchi informatici correlati che sfruttano le vulnerabilità di sicurezza di Zimbra.

Nel marzo 2018, i ricercatori di sicurezza hanno individuato un problema di cross-site scripting (XSS) a gravità media all’interno di ZCS. Se sfruttata, la falla consente agli avversari di procedere con azioni arbitrarie malevole a loro nome o produrre esche di schermate di accesso per rubare le credenziali degli utenti. Il flusso di sfruttamento è relativamente semplice. Gli hacker devono solo convincere la vittima ad aprire un’email appositamente creata in ZCS.

Nel periodo da dicembre 2021 a febbraio 2022, un altro bug XSS di Zimbra è stato sfruttato sempre più frequentemente in natura esponendo molteplici organizzazioni europee, comprese entità governative, a diverse ondate di attacchi informatici attribuiti a hacker cinesi. I tentativi iniziali di sfruttamento sfruttavano email di ricognizione contenenti grafica incorporata, mentre la seconda fase di attacco ha preso la forma di una campagna di spear-phishing diffondendo email con URL sospetti. Sfruttando questa vulnerabilità zero-day, gli attaccanti sono riusciti a ottenere l’accesso alle email bersagliate ed esfiltrare i dati della posta al server C&C dell’avversario.

Nel corso dell’ultima campagna malevola che ha sfruttato la falla XSS in questione, le email distribuite tra gli enti statali ucraini contenevano un’intestazione di locazione del contenuto con codice JavaScript che attraverso una catena di infezione ha portato a sfruttare la vulnerabilità rilevata in ZCS (CVE-2018-6882). Questa vulnerabilità XSS consente agli avversari di iniettare a distanza script malevoli o codice HTML in un allegato inviato tramite email utilizzando un’intestazione di locazione del contenuto. Sfruttando CVE-2018-6882 si abilita l’inoltro automatico delle email compromesse a un indirizzo esterno, che può essere considerato una campagna di cyber-spionaggio mirato.

Rilevamento e Mitigazione

I ricercatori di sicurezza hanno testato con successo lo sfruttamento di Zimbra su ZCS 8.7.11_GA-1854 (build 20170531151956) e suggeriscono che il problema di sicurezza interessa tutte le versioni di ZCS a partire dalla 8.5.0. Il bug è stato risolto nella versione ZCS 8.8.7.

Per proteggere l’infrastruttura dell’organizzazione da potenziali attacchi informatici che sfruttano la vulnerabilità Zimbra CVE-2018-6882, si raccomanda fortemente alle organizzazioni di controllare e aggiornare alla versione sicura del software Zimbra. Inoltre, CERT-UA raccomanda di monitorare attentamente le impostazioni specifiche delle email per prevenire rischi di esfiltrazione dei dati e attacchi di spear-phishing correlati.

Oltre alle migliori pratiche di sicurezza per proteggere l’ambiente organizzativo da possibili exploit di Zimbra, CERT-UA fornisce indicatori di compromesso per l’attacco informatico correlato contro enti statali ucraini. Per semplificare le attività di caccia alle minacce, i professionisti della sicurezza possono utilizzare lo strumento Uncoder CTI di SOC Prime per convertire automaticamente gli IoC forniti da CERT-UA in query personalizzate di caccia pronte per l’esecuzione in un ambiente SIEM o XDR scelto. Uncoder CTO è attualmente disponibile senza costi per tutti gli utenti registrati alla nostra piattaforma Detection as Code fino al 25 maggio 2022.

Sfruttando la piattaforma Detection as Code di SOC Prime, i professionisti della sicurezza possono migliorare senza sforzo le capacità di rilevamento e caccia alle minacce, rimanendo al passo con minacce che emergono continuamente.