CVE-2018-6882 Zimbra Collaboration SuiteのXSS脆弱性がウクライナ政府を標的に悪用されているとCERT-UAが警告

[post-views]
4月 15, 2022 · 6 分で読めます
CVE-2018-6882 Zimbra Collaboration SuiteのXSS脆弱性がウクライナ政府を標的に悪用されているとCERT-UAが警告

CERT-UAは最近、 警告しました ウクライナの国家機関を狙った新たな悪意のある活動についてグローバルコミュニティに。この時、匿名の敵対者はCVE-2018-6882として追跡されているZimbra Collaboration Suite (ZCS)のクロスサイトスクリプティングのセキュリティ問題を利用して、ウクライナ当局者のメール会話を監視しています。この脅威の性質から、CERT-UAはこれをUAC-0097識別子で追跡される標的型攻撃と見なしています。

Zimbra CVE-2018-6882脆弱性の悪用:攻撃の概要

Zimbraは企業向けソリューションで、チーム間のメール、カレンダー、コラボレーションの同期が可能で、クラウドまたはオンプレミスのどちらでも展開できます。全世界で20万以上の企業がZimbraをクラウドで活用しており、金融および政府部門の組織も含まれます。このため、Zimbraのセキュリティ脆弱性を悪用したスピアフィッシングキャンペーンおよび関連するサイバー攻撃で潜在的な被害者となる多くの顧客に重大な脅威をもたらします。

2018年3月にセキュリティ研究者がZCS内の中程度の深刻度のクロスサイトスクリプティング(XSS)問題を発見しました。これが悪用されると、敵対者は代理として悪意のある任意の行動を実行するか、ユーザー資格情報を盗むためのログイン画面誘導を生成できます。このエクスプロイトフローは比較的簡単です。攻撃者は特別に作成されたZCSのメールを被害者に開かせるだけです。

2021年12月から2022年2月の期間中、 別のXSS Zimbraバグが 野生で頻繁に利用され、複数の欧州の組織、政府機関を含む、大規模なサイバー攻撃にさらされました。最初の悪用試行では、組み込まれたグラフィックスを含む偵察メールが使用され、それに続く攻撃の第2段階では、疑わしいURLを含むスピアフィッシングキャンペーンが展開されました。このゼロデイの脆弱性を利用して、攻撃者は標的メールにアクセスし、敵対者のC&Cサーバーにメールデータを外部への送信を行いました。

今回のXSSの脆弱性を利用した最新の悪意あるキャンペーンでは、ウクライナ国家機関の間で配布されたメールには、JavaScriptコードを含むコンテンツロケーションヘッダーがあり、感染チェーンを通じてZCSの既知の脆弱性 (CVE-2018-6882) を悪用していました。このXSSの脆弱性により、攻撃者はコンテンツロケーションヘッダーを使用したメールの添付ファイルに悪意のあるスクリプトまたはHTMLコードをリモートから注入できます。CVE-2018-6882を利用することで、外部アドレスに自動で転送される形でのメールの不正送信が可能になり、標的サイバースパイ活動とみなすことができます。

検出と緩和

セキュリティ研究者は、ZimbraエクスプロイトをZCS 8.7.11_GA-1854(ビルド20170531151956)で成功裏にテストし、セキュリティ問題は8.5.0から始まるすべてのZCSバージョンに影響する可能性があるとしています。このバグは ZCSバージョン8.8.7で 修正されました。

Zimbra CVE-2018-6882の脆弱性を悪用する可能性があるサイバー攻撃からその組織のインフラを保護するために、組織はZimbraソフトウェアを安全なバージョンに確認およびアップグレードすることを強く推奨されます。さらに、CERT-UAは、データ流出のリスクと関連するスピアフィッシング攻撃を防止するために、特定のメール設定に注意を払うことを推奨します。

可能性のあるZimbraのエクスプロイトから組織環境を守るためのセキュリティのベストプラクティスとは別に、CERT-UAはウクライナ国家機関に対する関連サイバー攻撃の侵害指標を提供しています。脅威ハンティング活動を簡素化するために、セキュリティの実行者はSOC PrimeのUncoder CTIツールを使用して、CERT-UAによって提供されたIoCsを、 CERT-UAにより提供される カスタムハンティングクエリに変換して、選択されたSIEMまたはXDR環境で実行することができます。Uncoder CTOは現在、 無償で提供されています 2022年5月25日までに我々のDetection as Codeプラットフォームに登録されたすべてのユーザーに対して。

uncoder_cti_cert_ua

SOC PrimeのDetection as Codeプラットフォームを利用して、 SOC PrimeのDetection as Codeプラットフォームを活用すれば、セキュリティの実行者は、途切れなく発生する新たな脅威に対処しつつ、脅威検出とハンティング能力をシームレスに強化できます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約