Rilevamento CVE-2023-37580: Quattro Gruppi di Hacker Sfruttano una Vulnerabilità Zero-Day di Zimbra che Colpisce Enti Statali
Indice:
Le vulnerabilità che colpiscono prodotti software popolari, come Zimbra Collaboration Suite (ZCS), espongono continuamente le organizzazioni in diversi settori industriali, incluso il settore pubblico, a rischi crescenti. I difensori hanno esposto un minimo di quattro operazioni offensive impiegando una vulnerabilità zero-day di Zimbra tracciata come CVE-2023-37580, specificamente progettata per estrarre dati sensibili da enti governativi in diversi paesi.
Rileva i Tentativi di Sfruttamento di CVE-2023-37580
Con un numero costantemente crescente di exploit armati per lo sfruttamento in-the-wild, i professionisti della sicurezza richiedono contenuti di rilevamento su misura per individuare possibili attacchi nelle fasi iniziali. La piattaforma SOC Prime per la difesa cibernetica collettiva aggrega due regole Sigma specificamente indirizzate ai tentativi di sfruttamento di CVE-2023-37580:
Questa regola Sigma del team SOC Prime aiuta a identificare i tentativi di sfruttamento della vulnerabilità XSS di Zimbra Classic Web Client. Il rilevamento è compatibile con 18 soluzioni SIEM, EDR, XDR e Data Lake e mappato al framework MITRE ATT&CK, indirizzando l’Accesso Iniziale, con Compromissione Drive-by (T1189) come tecnica corrispondente.
Un’altra regola Sigma, del nostro esperto sviluppatore Threat Bounty Mustafa Gurkam KARAKAYA, rileva possibili tentativi di sfruttamento di CVE-2023-37580 inviando un payload XSS dannoso. L’algoritmo è compatibile con 18 soluzioni di analisi della sicurezza e mappato al framework MITRE ATT&CK, indirizzando le tattiche di Accesso Iniziale & Scoperta, con Sfruttamento delle Applicazioni Esposizione Pubblica (T1190) e Scoperta di File e Directory (T1083) come tecniche principali.
Per esplorare l’intero stack di rilevamento mirato alla rilevazione di CVE di tendenza, i difensori informatici potrebbero fare clic su Esplora Rilevamenti il pulsante qui sotto. Raggiungi istantaneamente le regole, sfrutta i metadati azionabili e non lasciamo alcuna possibilità agli attaccanti di colpire per primi.
Desideroso di sviluppare le tue competenze in ingegneria del rilevamento e contribuire alla difesa cibernetica collettiva mentre guadagni denaro per il tuo contributo? Unisciti alle fila del Threat Bounty Program di SOC Prime per addestrare le tue competenze di codifica di rilevamento, avanzare nella tua carriera ingegneristica e creare il tuo CV, arricchendo l’esperienza del settore e guadagnando vantaggi finanziari per il tuo contributo.
Analisi di CVE-2023-37580
All’inizio dell’estate 2023, il gruppo di analisi delle minacce di Google (TAG) ha rivelato un nuovo exploit zero-day in ZCS tracciato come CVE-2023-37580 con un punteggio di severità di 6,1 (CVSS). Poiché oltre 20K aziende si affidano al software di posta elettronica Zimbra Collaboration, la scoperta di questa falla di sicurezza rappresenta una grave minaccia per le aziende globali in molti settori industriali, compresi i sistemi del settore pubblico. Dalla divulgazione del bug, TAG ha osservato che quattro collettivi di hacking multipli erano dietro i tentativi di sfruttamento finalizzati a rubare dati e-mail, credenziali utente e token di autenticazione. In particolare, la maggior parte delle intrusioni ha avuto luogo dopo che ha avuto luogo in seguito alla divulgazione pubblica del primo fix di CVE-2023-37580 su GitHub.
CVE-2023-37580 è una vulnerabilità XSS a gravità media nel Zimbra Classic Web Client che colpisce le versioni ZCS precedenti alla Patch 41 della versione 8.8.15. Uno sfruttamento efficace di questa vulnerabilità consente l’esecuzione di script dannosi sui browser web delle vittime inducendoli a fare clic su un URL attentamente elaborato. Questa azione attiva la richiesta XSS a Zimbra e riflette l’attacco all’utente. La guida alla correzione è stata affrontata da Zimbra nella consulenza corrispondente.
Lo sfruttamento iniziale nel mondo reale della falla zero-day CVE-2023-37580 alla fine di giugno 2023 ha coinvolto una campagna diretta a un ente governativo in Grecia utilizzando e-mail con URL exploit inviati agli utenti mirati. Un altro gruppo di hacker ha approfittato del bug di sicurezza per un intero periodo di due settimane a partire fino alla pubblicazione della patch ufficiale alla fine di luglio 2023. I difensori hanno scoperto numerosi URL di exploit diretti a enti governativi in Moldavia e Tunisia. Il collettivo hacker dietro la seconda campagna può essere collegato a Winter Vivern alias UAC-0114, che ha lanciato una serie di attacchi di phishing contro enti governativi ucraini e polacchi a febbraio 2023.
Una terza campagna solo pochi giorni prima della pubblicazione della patch ufficiale è stata collegata a un gruppo sconosciuto che cercava di rubare credenziali da un’organizzazione del settore pubblico in Vietnam.
Ad agosto 2023, in seguito al rilascio della patch, i difensori hanno svelato un’altra campagna armando CVE-2023-37580 per colpire le istituzioni del settore pubblico in Pakistan. Gli hacker hanno abusato dell’exploit per rubare il token di autenticazione Zimbra, che è stato poi esfiltrato al dominio ntcpk[.]org.
L’identificazione di una serie di operazioni offensive che sfruttano CVE-2023-37580 in diversi paesi sottolinea la necessità critica per le aziende globali di applicare tempestivamente le patch ai loro server di posta. Come misure urgenti di mitigazione di CVE-2023-37580, le organizzazioni sono sollecitate a installare immediatamente le correzioni e mantenere costantemente aggiornato il software per la loro protezione completa.
Per aiutare il tuo team a semplificare le operazioni di ingegneria del rilevamento mentre difendi proattivamente contro exploit zero-day in-the-wild e altre minacce emergenti, inizia con Uncoder IO, che consente la traduzione di contenuti cross-platform in formato multipli in sotto-secondo e supporta l’impacchettamento automatizzato di IOC.
