CVE-2023-37580 検出：4つのハッカーグループが国家組織を狙うZimbraゼロデイ脆弱性を悪用

人気のあるソフトウェア製品に影響を与える脆弱性は、 Zimbra Collaboration Suite (ZCS) のように、公共部門を含む複数の業界ベクトルにある組織を継続的に増大するリスクにさらしています。ディフェンダーは、CVE-2023-37580として追跡されたZimbraのゼロデイ脆弱性を利用した4つ以上の攻撃作戦を明らかにしました。これにより、複数の国で政府機関から機密データを抽出することが目的とされています。

CVE-2023-37580の悪用試行を検出

野放し状態での悪用に向けて武器化されたエクスプロイトの数が増加するにつれて、セキュリティ専門家は可能な限り早期の段階での攻撃を検出するために、カスタマイズされた検出コンテンツを必要としています。集団サイバー防衛のためのSOC Primeプラットフォームは、CVE-2023-37580の悪用試行に特化した2つのSigmaルールを集約しています：

可能性のあるCVE-2023-37580（Zimbraクラシック WebクライアントXSS）悪用試行（ウェブサーバ経由）

SOC PrimeチームによるこのSigmaルールは、Zimbraクラシック WebクライアントXSSの脆弱性の悪用試行を特定するのに役立ちます。この検出は、18のSIEM、EDR、XDR、データレイクソリューションと互換性があり、MITRE ATT&CKフレームワークにマッピングされています。初期アクセスをアドレスし、それに対応する技術としてドライブ・バイ・コンプロマイズ（T1189）を使用します。

関連するウェブリクエスト（ウェブサーバ経由）のあるZimbra Collaboration XSS脆弱性[CVE-2023-37580]悪用試行

私たちの経験豊富なThreat Bounty開発者 Mustafa Gurkam KARAKAYAによって作成された別のSigmaルールが、悪意のあるXSSペイロードを送信することによって可能性のあるCVE-2023-37580の悪用試行を検出します。このアルゴリズムは、18のセキュリティ分析ソリューションと互換性があり、MITRE ATT&CKにマッピングされており、初期アクセスと発見戦術に対処し、主な技術として公開されているアプリケーションの悪用（T1190）とファイルおよびディレクトリの探索（T1083）を使用します。

トレンドのCVE検出を目的とした全体の検出スタックを探るために、サイバーディフェンダーは 検出を探る 下のボタンを押すことでルールに即座にアクセスし、実行可能なメタデータを活用し、攻撃者に先手を取られることを許さないようにします。

検出を探る

検出エンジニアリングスキルを向上させ、集団サイバー防衛に貢献しながら、貢献に対して報酬を得たいですか？SOC Primeの Threat Bounty Program に参加して、検出コーディングスキルをトレーニングし、エンジニアリングキャリアを進展させ、履歴書をコーディングしながら、業界の専門知識を豊かにし、貢献に対する金銭的特典を得ましょう。

CVE-2023-37580分析

2023年の初夏に、 Googleの脅威分析グループ（TAG） は、CVE-2023-37580として追跡され、6.1（CVSS）の重大度スコアを持つZCSの新しいゼロデイエクスプロイトを明らかにしました。2万以上の企業がZimbra Collaboration電子メールソフトウェアに頼っているため、このセキュリティギャップの発見は、公共部門システムを含む複数の産業セクターでグローバルビジネスに深刻な危険をもたらします。このバグ開示以来、TAGは、電子メールデータ、ユーザー資格情報、および認証トークンを盗むことを目的とした8つのハッキング集団が悪用試行を行ったことを観察しました。特に、多くの侵入はCVE-2023-37580 の初期修正がGitHubで公開された後に発生しました。.

CVE-2023-37580 は、ZimbraクラシックWebクライアントにおける中程度の重大度を持つXSS脆弱性で、8.8.15パッチ41以前のZCSバージョンに影響を与えます。この脆弱性の効果的な悪用は、細心の注意を払ったURLをクリックさせることで、被害者のウェブブラウザ上で悪意のあるスクリプトを実行することを可能にします。このアクションは、ZimbraへのXSSリクエストを引き起こし、攻撃をユーザーに反映させます。対応する勧告では、Zimbraが対応策を示しています 。CVE-2023-37580ゼロデイ欠陥の最初の現実世界での悪用は、2023年6月末に、ギリシャの政府機関を標的としたキャンペーンを伴ったもので、狙われたユーザーに送信されたエクスプロイトURLを含むメールを活用しました。別のハッキンググループは、2023年7月末に公式パッチがリリースされるまでの2週間にわたり完全にこのセキュリティバグを利用しました。モルドバとチュニジアの政府機関を対象とした多数のエクスプロイトURLがディフェンダーによって明らかにされました。2番目のキャンペーンの背後にあるハッキング集団は

The initial real-world exploitation of the CVE-2023-37580 zero-day flaw in late June 2023 involved a campaign directed at a government entity in Greece leveraging emails with exploit URLs sent to the targeted users. Another hacking group took advantage of the security bug for a complete two-week period starting until the official patch was released at the end of July 2023. Defenders uncovered numerous exploit URLs directed at government entities in Moldova and Tunisia. The hacking collective behind the second campaign can be linked to Winter Vivern aka UAC-0114に関連しており、2023年2月にウクライナおよびポーランドの政府機関に対する一連のフィッシング攻撃を開始しました。

公式パッチ公開の数日前、別の未知のグループがベトナムの公共部門組織の資格情報を盗むことを目指したキャンペーンが発生しました。

2023年8月、パッチ公開後、ディフェンダーはパキスタンの公共部門機関を対象にしたCVE-2023-37580を武器化する別のキャンペーンを明らかにしました。ハッカーはエクスプロイトを悪用しZimbraの認証トークンを盗み、それをntcpk[.]orgドメインに送信しました。

異なる国でCVE-2023-37580の悪用を行う一連の攻撃作戦の特定は、世界の企業がメールサーバーにパッチを迅速に適用する必要のある重要な問題を浮き彫りにしています。CVE-2023-37580に対する緊急対策として、組織には修正を直ちにインストールし、ソフトウェアを定期的に更新することで、包括的な保護を提供するよう求められています。

野放しのゼロデイエクスプロイトやその他の新たな脅威に対してプロアクティブに防御しながら、チームが検出エンジニアリング業務を効率化できるようにするために、 Uncoder IOで始めましょう。これにより、複数の言語フォーマットへのサブセコンドでのクロスプラットフォームコンテンツ翻訳が可能になり、自動IOCパッケージ化をサポートします。